Пассворк запустил программу поиска уязвимостей на площадке Standoff Bug Bounty

Пассворк запустил программу поиска уязвимостей на площадке Standoff Bug Bounty — крупнейшей российской багбаунти-платформе. Теперь безопасность Пассворка проверяют более 30 000 независимых экспертов. Это важный этап нашей стратегии безопасности: мы выявляем и устраняем потенциальные уязвимости до того, как они станут проблемой.

Безопасность как фундамент

Согласно исследованию Positive Technologies, 36% успешных кибератак на российские компании осуществляются через эксплуатацию уязвимостей в веб-приложениях. Для системы управления паролями это критический риск: её компрометация может открыть злоумышленникам доступ ко всей корпоративной инфраструктуре.

Для организаций Пассворк — первый рубеж защиты корпоративных секретов. Именно поэтому мы рассматриваем безопасность не как отдельную функцию, а как фундамент продукта. Все архитектурные решения строятся вокруг принципов надёжной защиты.

«Киберугрозы постоянно эволюционируют. Просто реагировать на инциденты — уже недостаточно. Запуская Bug Bounty, мы действуем на опережение. Это наш способ подтвердить, что доверие, которое клиенты оказывают Пассворку, абсолютно оправданно», — Андрей Пьянков, генеральный директор ООО «Пассворк»

Запуская Bug Bounty мы продолжаем следовать нашей стратегии, направленной на проактивное выявление и устранение потенциальных уязвимостей с привлечением независимого экспертного сообщества.

Почему Standoff Bug Bounty

Мы выбрали Standoff Bug Bounty как крупнейшую площадку по поиску уязвимостей в России. Платформа объединяет более 30 000 исследователей безопасности, предоставляет удобную инфраструктуру для работы и обеспечивает прозрачное взаимодействие с багхантерами.

Positive Technologies — один из лидеров в области результативной кибербезопасности. Компания является ведущим разработчиком продуктов, решений и сервисов, позволяющих выявлять и предотвращать кибератаки до того, как они причинят неприемлемый ущерб бизнесу и целым отраслям экономики. Positive Technologies — первая и единственная компания из сферы кибербезопасности на Московской бирже (MOEX: POSI). Количество акционеров превышает 220 тысяч.

Сотрудничество с Positive Technologies даёт нам доступ к крупнейшему сообществу исследователей безопасности, отработанные процессы обработки уязвимостей и полный контроль на всех этапах. Это гарантия того, что мы получим качественную экспертизу и сможем оперативно реагировать на найденные угрозы.

Что мы тестируем

В рамках программы специалисты исследуют фронтенд и бэкенд веб‑приложения Пассворка:

• Удалённое исполнение кода (RCE): возможность заставить сервер выполнять произвольный код или команды.
• Инъекции (SQL и аналоги): внедрение вредоносного кода в запросы к базам данных (SQL, NoSQL, ORM, LDAP) для чтения, изменения данных или обхода аутентификации.
• Подделка запросов на стороне сервера (SSRF): принуждение сервера обращаться к произвольным (включая внутренним) ресурсам для получения секретов или обхода периметра.
• Раскрытие и манипуляции чувствительными данными (IDOR): доступ к объектам через изменяемые идентификаторы без проверки прав, позволяющий читать или редактировать чужие записи.
• Захват аккаунта: получение контроля над учётной записью через уязвимости входа или восстановления, кражу токенов и сессий, обход двухфакторной аутентификации.
• Локальное и удалённое включение файлов (LFI/RFI): включение локальных или удалённых файлов через параметры путей.
• Межсайтовый скриптинг (XSS) с высоким импактом: внедрение и исполнение вредоносного JavaScript (особенно Stored XSS в админ-панели) для кражи токенов и подмены действий пользователя.
• Обход ролевой модели доступа к сейфам и паролям: нарушение ACL, позволяющее просматривать, редактировать или экспортировать пароли в чужих сейфах вопреки политикам.
• Горизонтальное или вертикальное повышение привилегий: получение прав другого пользователя или администратора через манипуляцию параметрами, скрытыми полями и маршрутами.
• Обход ключевых механизмов безопасности продукта: логические или технические способы обойти 2FA, ограничения экспорта и подтверждения критических действий.

Непрерывный процесс

Программа Bug Bounty — это не разовое мероприятие, а постоянная практика. Каждый отчёт будет тщательно анализироваться командой безопасности Пассворка. Найденные уязвимости будут оперативно устраняться, а выводы — интегрироваться в процессы разработки.

Мы регулярно проводим аудит безопасности и тестируем Пассворк силами внутренних и внешних экспертов. Для наших клиентов это еще один повод быть уверенными в том, что выбирая Пассворк, вы выбираете безопасность, подтвержденную не только сертификатами, но и тысячами независимых экспертов.

Читайте также

Чёрная пятница 2025: как обезопасить бизнес в период распродаж

Чёрная пятница 2025: как защитить бизнес от всплеска киберугроз и использовать распродажи для усиления безопасности.

Блог ПассворкаАнастасия Лебедева

Пассворк: управление секретами и автоматизация доступа

Что такое управление секретами Управление секретами (secrets management) — это процесс централизованного хранения, управления и ротации конфиденциальных данных, которые приложения и сервисы используют для доступа к критически важным ресурсам. К таким секретам относятся пароли, SSH-ключи, API-ключи и ключи шифрования, токены доступа, сертификаты и любые другие параметры, обеспечивающие безопасность вашей инфраструктуры. Почему

Блог ПассворкаИлья Шелыгин

Пассворк и HashiCorp Vault: сравнение решений

Сравниваем подходы и сценарии использования Пассворка и HashiCorp Vault: архитектуру, функции и интеграцию с DevOps.

Блог ПассворкаИлья Шелыгин