ВЕБ ШТУРМ
Обсудить →

Кибербезопасность

Аудит инфраструктуры, pentest веб-приложений, рекомендации по 152-ФЗ и ФСТЭК

Проводим аудит инфраструктуры, pentest веб-приложений и закрываем юридические риски использования иностранных сервисов на российских сайтах. Главный фокус — 152-ФЗ и его поправки 2025 года.

Под услугой ниже есть калькулятор для предварительной оценки бюджета и срока.

Что входит

  • 152-ФЗ audit для коммерческих сайтов: поиск запрещённых иностранных виджетов (Google reCAPTCHA, GTM, FB Pixel, WhatsApp Business), оценка штрафных рисков (до 6 млн ₽ за первое нарушение, до 18 млн за повторное).
  • Замена reCAPTCHA → Yandex SmartCaptcha (B13-паттерн): lazy-load на first interaction + honeypot + time-trap. Опыт ozsm.ru: TBT 1648 мс → 0 мс, PSI 89 → 99 на странице с формой.
  • Pentest веб-приложений по OWASP Top 10 + российская специфика: legacy PHP, MODX, 1С-расширения, mTLS bridge.
  • Аудит mTLS + HMAC + Idempotency конфигураций для inter-service auth.
  • Подготовка ЛНА для гос-аудитории: NDA, Положение о ПД, Положение о КТ, Перечень КТ, Инструкция о доступе — готовые шаблоны под подписи.
  • Реагирование на инциденты: расследование с фиксацией артефактов, отчёт пригодный для арбитража.

Когда нужно

  • На сайте есть формы с обработкой ПД и стоит Google reCAPTCHA или иной иностранный виджет.
  • Готовитесь к ФСТЭК-аттестации или госзакупкам — нужна оценка соответствия.
  • Случился инцидент: подозрение на утечку, аномальная активность, фишинг от имени компании.
  • Внедряете новую систему — нужен pentest перед запуском в продакшен.

Как мы работаем

  1. Discovery (3-5 дней). Карта приложений, перечень внешних виджетов, scope аудита/pentest.
  2. Аудит/pentest (1-3 недели). Чёрный, серый или белый ящик в зависимости от scope. Регулярные промежуточные отчёты по найденным проблемам.
  3. Финальный отчёт + план remediation. С приоритизацией по риску, оценкой трудоёмкости каждого фикса.
  4. Имплементация фиксов (опционально). Можем закрыть всё сами или сопроводить вашу команду.

Технологии

Burp Suite, OWASP ZAP, sqlmap, nmap, OpenSSL, статический анализ кода (semgrep, bandit, brakeman), Yandex SmartCaptcha (FSTEC-сертифицированная альтернатива reCAPTCHA), MAX-мессенджер (152-ФЗ совместимый), КриптоПро CSP для GOST 28147-89, mTLS-сертификаты от собственного CA.

Подробности — в кейсе ОЗСМ (закрыт юридический риск 1-6 млн ₽ за 2 недели).

Опишите задачу — обсудим как закрыть её целиком.

Калькулятор pentest

Ориентировочная вилка. Точное ТЗ согласуем в форме.

Тип
Стоимость
~316 000 – 474 000 ₽
Срок: ~6 дн.
Уточнить детали в форме обратной связи →

Часто задаваемые вопросы

Чем грозит использование Google reCAPTCHA в России в 2026 году?
С 1 июля 2025 reCAPTCHA в РФ запрещена для обработки персональных данных пользователей. Штраф 1-6 млн ₽ за нарушение, повторное — до 18 млн ₽. Обязательная замена на российские аналоги (Yandex SmartCaptcha) или собственные механизмы (honeypot + time-trap).
Сколько занимает замена reCAPTCHA на SmartCaptcha?
Production-опыт ozsm.ru: 2 формы (/kontakt и /zayavka) переведены за 1 день с сохранением всех существующих интеграций. TBT при этом снизился с 1648 мс до 0 мс (363 KB лишнего Google-кода ушло).
Что вы тестируете в pentest?
OWASP Top 10 (injection, broken auth, sensitive data, XXE, broken access, security misconfig, XSS, deserialization, vulnerable components, insufficient logging) + российская специфика: legacy PHP, MODX, 1С-веб-расширения, mTLS-конфигурации.
Дадите ли отчёт, который примут в арбитраже?
Да. Делаем заключения, пригодные для досудебной претензии и судебной экспертизы по 731-ФЗ. Описание методики, фиксация артефактов, ссылки на CVE/нормативку, оценка тяжести по CVSS 4.0.
Как защищаете формы без видимой капчи?
3 уровня: SmartCaptcha (lazy на first interaction), honeypot field (display:none + tabindex=-1 + aria-hidden) и time-trap (server-side проверка `Date.now() - form_ts > 3000`). Бот не пройдёт ни один, пользователь не заметит.

Готовы обсудить проект?

Напишите — обсудим задачу и сроки.

Обсудить проект →