DPA Frontend Application Security Testing (FAST) Analyzer

Российский FAST-анализатор для автоматизированного тестирования безопасности frontend-приложений в процессе безопасной разработки (SSDLC / DevSecOps). Инструмент анализирует поведение скриптов, обнаруживает НДВ и закладки в зависимостях, контролирует выполнение политик ИБ для управления поверхностью атаки, обеспечивая выпуск приложений Secure by Design

Бесплатный пилот Задать вопрос
DPA Security Platform

Источники угроз

7 МБ
средний размер JavaScript-кода современных frontend-приложений
98%
скриптов минифицированы / обфусцированы, что значительно затрудняет их ручной и автоматизированный (SAST) анализ
12
уровней - средняя глубина дерева зависимостей NPM-пакетов в JavaScript-проектах
Собственные (1st-party) и сторонние (3rd-party) скрипты при выполнении могут загружать другие скрипты. Инвентаризация скриптов без анализа их поведения имеет низкую достоверность
SAST, DAST, SCA, OSA не анализируют поведение скриптов и не обнаруживают специфические для frontend-приложений угрозы, в т.ч. утечки данных в браузере и атаки на пользователей

Проблема

Классические анализаторы (SAST, DAST, SCA, OSA), применяемые в процессе безопасной разработки, обнаруживают не все угрозы, специфические для клиентских JavaScript/TypeScript-приложений, такие как возможность загрузки стороннего кода (3rd-party), выполнение зашифрованного кода из текста. Достоверно выявить весь фактически исполняемый код и вредоносное поведение скриптов возможно только на контентном слое (Content Layer) браузера.

Frontend-приложения имеют десятки зависимостей, при этом при разработке не анализируются на реальные угрозы, что создает слепую зону в безопасности и предоставляет возможность монетизации взлома для злоумышленника, что регулярно обнаруживается в реальных атаках. При этом весь этот код имеет полный доступ к странице web-приложения и функциям браузера и может выполнять следующие действия.
icon
Сбор и кража критичных данных со страниц web-приложения (персональные данные, банковские карты, данные клиентов, учетные записи, токены, cookie, профиль поведения и т.п.)
icon
Загрузка на страницу других скриптов злоумышленника
icon
Выполнение действий от имени пользователя
icon
Показ пользователю мошеннических баннеров от имени компании для последующей кражи денег / данных или загрузке вредоносного вложения
icon
Майнинг криптовалюты за счет вычислительных ресурсов устройства пользователя
icon
Заражение устройства пользователя через эксплуатацию уязвимостей браузера

Безопасность frontend-приложений

Не только скрипты..
НДВ и закладки в зависимостях js-библиотек
Избыточная передача данных доверенным партнерам
Несанкционированное изменение файлов в скомпрометированных CDN
Атаки на цепочки поставок frontend-приложений
Утечки данных через браузер из intranet-порталов (CRM, HRM, ERP, Wiki)
Некорректное управление доступом и уязвимости бизнес-логики (в т.ч. IDOR)
Отображение мошеннических баннеров от имени компании
Избыточное раскрытие данных разработчиком (OWASP API3:2019)
Раскрытие критичных данных в комментариях в коде web-страниц и скриптов
Черное SEO (продажа ссылок, скрипты ретаргетинга конкурентов)
Трекеры / пиксели отслеживания
Системы управления тегами
js-майнеры
Вредоносные плагины браузера
Трансграничная передача ПД

DPA FAST Analyzer

DPA FAST Analyzer - российский FAST-анализатор для автоматизированного тестирования безопасности frontend-приложений в процессе безопасной разработки (SSDLC / DevSecOps).

Инструмент выполняет анализ поведения скриптов, обнаруживает НДВ и закладки в сторонних библиотеках, позволяет контролировать требования политик ИБ к разработке клиентских js/ts приложений и управлять поверхностью атаки для выпуска frontend-приложений по принципу Secure by Design.

Функции FAST-анализатора

Динамическая инвентаризация активных элементов
По технологии frontend-sandbox (песочница), в ходе FAST-анализа выполняется весь js-код, в том числе динамически загруженный. Помимо скриптов обнаруживаются другие активные элементы (атрибуты событий, iframe, object и другие).

На выходе Вы получаете полный достоверный Frontend SBOM, и перечень отклонений от эталонной политики безопасности, требующих реакции AppSec-специалиста.
Карта сетевых запросов, диаграмма потоков данных
Для реализации цели скрипту злоумышленника потребуется выполнить сетевой запрос со страницы frontend-приложения (например, загрузка полезной нагрузки, отправка украденных данных) .

FAST-анализатор на контентном слое браузера контролирует все сетевые запросы и отображает диаграмму потоков данных (Data Flow Diagram). В случае обнаружения запроса на неразрешенный хост будет выявлено нарушение политики безопасности.

Также Вы сможете проанализировать, какие данные (состав / объем / страна назначения) собирают партнерские сервисы.
Опасные функции браузера, управление поверхностью атаки
Современные браузеры предоставляют js-приложениям множество API, которое может быть использовано злоумышленниками (доступ к камере, микрофону, экрану, уведомлениям, геопозиции, полноэкранному режиму, буферу обмена, сохраненным методам оплаты и другие). При этом большая часть frontend-приложений использует не более 2 % существующих API.

При анализе поведения скриптов FAST-анализатор обнаруживает вызовы таких API. Если после обновления сторонних библиотек приложение стало запрашивать доступ к микрофону, это может означать внесение закладки в код злоумышленником.

Используя FAST-анализатор, Вы сможете контролировать факты вызова не разрешенного API браузера.

Процесс безопасной разработки frontend-приложений

1. Запуск сканирования FAST-анализатором

2. Соответствует политике:

3. Не соответствует политике:

1. Периодическое сканирование FAST-анализатором продуктивной версии

2. Не соответствует политике:

Процесс безопасной разработки frontend-приложений

Plan

Test

1. Запуск сканирования FAST-анализатором

2. Соответствует политике:

3. Не соответствует политике:

Monitor

1. Периодическое сканирование FAST-анализатором продуктивной версии

2. Не соответствует политике:

Решаемые задачи

  • Управляемый и измеряемый риск-ориентированный процесс разработки безопасных frontend-приложений
  • Обнаружение актуальных угроз и уязвимостей для frontend-приложений, невидимых для классических анализаторов безопасности (SAST, DAST, SCA, OSA)
  • Предотвращение утечек информации в frontend-приложениях, в том числе web-скимминга (e-skimming) и formjacking-атак
  • Обнаружение закладок, фактов компрометации и НДВ в зависимостях по аномальному поведению приложения
  • Инвентаризация всех скриптов и других активных элементов, контроль целостности
  • Управление поверхностью атаки в js-приложении, обнаружение используемого "опасного" API браузера
  • Возможность анализа данных, собираемых доверенными партнерами, на предмет избыточности и трансграничной передачи
  • Автоматизированный анализ безопасности без увеличения Time to Market (TTM)
  • Выполнение требований и рекомендаций PCI DSS 4.0, 152-ФЗ, НКЦКИ, GDPR, отраслевых стандартов ИБ. Отчеты для аудиторов

Интерфейс продукта

Статусы проектов

Обзор результатов сканирования

Диаграмма потоков данных

Вызовы API браузера

Определение инициатора вызова Web API

История изменений скриптов

История сканирований

Преимущества

Полная видимость и контроль
Frontend Application Security Testing (FAST) анализатор обнаруживает актуальные угрозы для клиентских JavaScript-приложений, не видимые для других анализаторов безопасности.

Контролируйте безопасность каждого релиза в процессе безопасной разработки для предотвращения утечек данных и атак на пользователей.
Отсутствие ложных срабатываний
FAST-анализатор применяет политики по принципу "Белого списка". После первичной настройки политики, срабатывание происходит только в случае обнаружения элемента или действия, представляющего реальное нарушение, требующее реакции AppSec-специалиста.
Простое внедрение и быстрое сканирование
Для настройки первого сканирования необходим стенд с frontend-приложением, настройка базового E2E-сценария занимает несколько минут в удобном UI.

Сканирование выполняется по конкретным E2E-сценариям и не превышает их длительность, что позволяет не влиять на Time to Market (TTM).
Технология Frontend Sandbox
FAST-анализатор работает по технологии frontend-sandbox (песочница), выполняя весь js-код в модернизированном виртуальном браузере, контролирует динамическое внедрение кода, сетевые запросы и использование API браузера

Frontend-приложения являются слепой зоной в информационной безопасности и практически всегда содержат персональные данные пользователей

Злоумышленники осуществляют монетизацию взлома через кражу данных и показ мошеннических баннеров в frontend-приложениях, т. к. существующие средства защиты не могут отличить такие действия от нормальных бизнес-функций.

Продукт DPA Frontend Application Security Testing (FAST) Analyzer позволяет выявлять угрозы в frontend-приложениях в процессе разработки и выпускать js-приложения по принципу Secure by Design. Заполните форму для записи на бесплатное тестирование.

Заказать пилот
Продукты
Решения
Свяжитесь с нами

Общие вопросы:

info@dpa-analytics.ru

Отдел продаж:

sales@dpa-analytics.ru

Поддержка:

support@dpa-analytics.ru

© 2025 DPA Analytics

Безопасность frontend-приложений Политика конфиденциальности

Данный сайт использует cookie-файлы для наилучшего отображения и удобства пользователя. Продолжая использовать сайт, Вы соглашаетесь с использованием cookie-файлов в соответствии с Политикой конфиденциальности
Понятно