Исследования

2025

22.07.2025 исследование демо

FAST-анализатор: обнаружение вредоносного поведения js-кода на примере реального инцидента

В видео показали, как FAST-анализатор обнаруживает вредоносные действия js-кода на примере реального скрипта злоумышленников на взломанных сайтах сети онлайн-библиотеки Flibusta.

Видео

RutubeLink YoutubeLink VkVideoLink

Ссылка

TgLink
27.06.2025 эфир

Эфир AM Live
Разработка безопасного программного обеспечения (РБПО)

В прямом эфире AM Live мы разобрали, как внедрить принципы РБПО в основные этапы жизненного цикла разработки и поддержки ПО: разработка требований к продукту и его архитектуре, моделирование угроз и определение поверхности атаки, статический и динамический анализ, в том числе FAST-анализ (Frontend Application Security Testing).

Видео

YoutubeLink VkVideoLink
30.06.2025 сервис фреймворк

DPA Frontend Threat Modeling Framework. Фреймворк моделирования угроз для frontend-приложений

Мы запустили бесплатный сервис для автоматизированного создания модели угроз для frontend-приложения. Фреймворк включает более 75 угроз, показатели эффективность защитных мер и автоматически генерирует план обработки рисков для Ваших приложений в зависимости от выбранных параметров.

Ссылка

DpaLink TgLink
23.05.2025 доклад

PHDays Fest 3
Взгляд в темноту. Безопасность frontend-приложений от модели угроз до secure by design

В докладе представлю результаты исследования безопасности более 1000 российских frontend-приложений. Покажу собственный фреймворк моделирования угроз для браузерных JavaScript-приложений, а также расскажу о том, как автоматизированный анализ поведения и профилирование помогут эффективно контролировать безопасность frontend-приложений в DevSecOps.

Слайды

PDF

Видео

RutubeLink YoutubeLink VkVideoLink
25.04.2025 доклад

AppSecFest 2025
Frontend Application Security Testing (FAST). Задачи подхода и место в DevSecOps/SSDLC

Поговорили, почему классические анализаторы (SAST, DAST, IAST, OSA/SCA) не применимы для frontend-приложений, а современный браузер - идеальная точка монетизации взлома для злоумышленников. Рассмотрим, как защититься от Supply Chain-атак в js-библиотеках и выпускать безопасные приложения по принципу Secure By Design с помощью FAST-анализаторов.

Слайды

PDF

Видео

YoutubeLink
03.04.2025 доклад

Территория безопасности 2025
Как обнаружить и предотвратить Supply Chain атаки на фронтенде?

В докладе рассмотрим вектора проникновения вредоносного кода в frontend-приложения и подробно разберем Supply Chain атаки: NPM-зависимости, скрипты внешних партнерских сервисов, тег-менеджеры. Вредоносное поведение js-кода не обнаруживается классическими средствами защиты веб-приложений. Разберем подходы Frontend Application Security Testing (FAST) и Frontend Observability и посмотрим, как начать видеть в "слепой зоне", защитить пользователей и предотвратить утечки персональных данных.

Слайды

PDF

2024

09.12.2024 доклад

Сетевая безопасность 2024
Браузер пользователя идеальное место для кражи данных и атак. Как обнаружить утечки там, где WAF не видит?

В докладе сделали обзор инцидентов в frontend-приложениях за последние 5 лет, рассмотрели атаки на цепочки поставок в js-библиотеках и злоупотребление доступом скриптами партнеров, раскрыли подходы Frontend Application Security Testing (FAST) и Frontend Observability и рассказали, как начать видеть в "слепой зоне" и защитить пользователей.

Слайды

PDF
09.10.2024 статья

Content Security Policy (CSP) защитит от js-снифферов и утечек?

Поговорим о задачах CSP и на практике проверим, защитит ли CSP от кражи данных с web-страницы js-сниффером, определим, контролирует ли CSP все каналы передачи информации в браузере и узнаем, достаточно ли только CSP для защиты frontend-приложения.

Ссылка

HabrLink
05.10.2024 доклад

CyberCamp 2024
Анализируем поведение браузерного JavaScript-приложения с помощью Chromium DevTools

JS-приложения, выполняемые в браузерах, содержат конфиденциальную информацию и часто используются для атак на пользователей. При этом браузер является слепой зоной для ИБ. В выступлении поговорили об актуальных рисках при разработке и эксплуатации JS-приложений, разобрали несколько инцидентов, связанных с утечкой данных и провели практический анализ поведения приложения с помощью встроенных инструментов браузера.

Слайды

PDF

Видео

RutubeLink YoutubeLink VkVideoLink
24.05.2024 доклад

PHDays Fest 2
Frontend application security testing (FAST). Задачи подхода и место в DevSecOps

JavaScript-приложения, выполняемые в браузерах пользователей, часто содержат конфиденциальную информацию и могут быть использованы для проведения атак на пользователей. В выступлении поговорили об актуальных рисках, специализированных методах анализа безопасности frontend-приложений при разработке (SSDLC/DevSecOps), подходе FAST и способах обеспечения observability веб-приложений в браузерах пользователей.

Слайды

PDF

Видео

YoutubeLink VkVideoLink

Frontend-приложения являются слепой зоной в информационной безопасности и практически всегда содержат персональные данные пользователей

Злоумышленники осуществляют монетизацию взлома через кражу данных и показ мошеннических баннеров в frontend-приложениях, т. к. существующие средства защиты не могут отличить такие действия от нормальных бизнес-функций.

Продукты DPA Analytics для безопасности frontend-приложений

показывают процессы и потоки данных в frontend-приложениях. Протестируйте решения на Ваших приложениях. Заполните форму для записи на бесплатное тестирование.

Заказать пилот
Продукты
Сервисы
Партнеры
Решения
Исследования
Свяжитесь с нами

Общие вопросы:

info@dpa-analytics.ru

Отдел продаж:

sales@dpa-analytics.ru

Поддержка:

support@dpa-analytics.ru

© 2025 DPA Analytics

Безопасность frontend-приложений Политика конфиденциальности

Данный сайт использует cookie-файлы для наилучшего отображения и удобства пользователя. Продолжая использовать сайт, Вы соглашаетесь с использованием cookie-файлов в соответствии с Политикой конфиденциальности
Понятно