Black Box аудит веб-сервиса с операциями с цифровыми активами

О кейсе

Проект: веб-сервис с операциями с цифровыми активами под NDA
Метод: Black Box
Среда: тестовый стенд
Доступы: без доступа к панели администратора, исходному коду и внутренней инфраструктуре

Основная задача— проверить, какие уязвимости и технические риски можно выявить со стороны внешнего пользователя в рамках доступного функционала.

В фокусе проверки были:

• регистрация и авторизация
• создание заявки
• обработка пользовательских данных
• валидация полей
• frontend-сборка
• API-точки

Black Box— это метод проверки, при котором специалист анализирует систему “снаружи” — без доступа к исходному коду, административной панели и внутренней архитектуре проекта.

Почему это важно

В сервисах, связанных с цифровыми активами, ошибка в пользовательском сценарии — это не просто неудобство в интерфейсе. Некорректная авторизация, слабая валидация реквизитов или неочевидная обработка ошибок могут напрямую влиять на прохождение заявки, доверие пользователя и качество обработки данных и вести к финансовым потерям.

Кроме бизнес-логики, важен и внешний технический контур: какие файлы видны снаружи, что можно понять о frontend-сборке, какие API-точки обнаруживаются без доступа к коду и административной панели.

Ход работы

1. Проверили пользовательские сценарии

Начали с базовых сценариев: регистрации, авторизации и создания заявки. На этом этапе нашли несколько проблем с обработкой данных:

• некорректная авторизация при отдельных форматах email;
• отсутствие понятных ошибок при вводе некорректного номера карты;
• некорректная обработка адреса получения.

На первый взгляд такие проблемы похожи на обычные баги формы. Но для сервиса с операциями с цифровыми активами это важный сигнал: если система не объясняет пользователю причину ошибки или некорректно обрабатывает входные данные, значит этот участок требует дополнительной проверки и усиления.

2. Проверили frontend-сборку и служебные файлы

Следующим этапом проверили, какие технические файлы доступны снаружи. В ходе аудита обнаружили доступный source map, через который можно увидеть структуру frontend-приложения:

• используемые модули;
• компоненты;
• маршруты;
• часть технологического стека.

Это не означает автоматическую компрометацию проекта, но упрощает дальнейший анализ приложения. По таким данным можно быстрее понять, как устроен сервис, какие зависимости используются и где могут находиться потенциально слабые места.

3. Выделили API-точки для отдельной проверки

В frontend-файлах был обнаружен перечень API-эндпоинтов. Часть из них была доступна для внешних запросов и возвращала JSON-ответы.

Само наличие API — не проблема. Риск появляется, если в таких точках недостаточно строго проверяются:

• авторизация;
• права доступа;
• параметры запроса;
• cookies/tokens;
• лимиты обращений.

Поэтому API был выделен как отдельное направление для более глубокой проверки.

4. Проверили npm-зависимости

Также в открытых данных были видны упоминания npm-зависимостиaxios. Конкретная версия в рамках текущей проверки не определялась, но сам факт видимости зависимостей полезен для аудита.

Популярные пакеты периодически получают уязвимости или попадают в инциденты supply chain, поэтому их версии и окружение сборки важно проверять отдельно.

Что это дает клиенту

Результатом проверки стала карта зон, где стоит усиливать безопасность:

• исправить ошибки валидации и обработки пользовательских данных
• закрыть доступ к source map и служебным файлам frontend-сборки
• проверить настройки сборки и выдачи статических файлов
• отдельно проверить API: авторизацию, права доступа, параметры, cookies/tokens и rate limit
• проверить версии npm-зависимостей и окружение сборки

Такой аудит помогает не только найти отдельные ошибки, но и понять, какие участки приложения видны внешнему пользователю и могут быть использованы для дальнейшего анализа.

Итог

Black Box аудит показал, что даже без доступа к исходному коду и панели администратора можно выявить заметные зоны риска: ошибки в пользовательских сценариях, раскрытие структуры frontend-приложения и потенциальные точки для дальнейшей проверки API.

Для сервисов с операциями с цифровыми активами такой внешний срез особенно полезен: он показывает, что видит потенциальный атакующий снаружи, и помогает определить, какие зоны стоит закрывать в первую очередь.