Исследования

2025

20.11.2025 доклад

SOC Forum 2025
JS-снифферы приходят в наши приложения с NPM-зависимостями. Как использовать браузер-песочницу для обнаружения вредоносных действий до релиза?

Frontend-приложения могут иметь тысячи зависимостей, Supply Chain-атаки в NPM происходят все чаще. О краже данных мы узнаём только из жалоб пользователей через дни и недели после релиза. Разобрали известные инциденты и актуальные риски для frontend-приложений. Рассмотрели, как анализ поведения приложения в браузере-песочнице эффективно обнаруживает вредоносное поведение js-кода до релиза и контролирует безопасность приложения после релиза.

Слайды

PDF
12.11.2025 вебинар демо

FAST: Безопасность frontend-приложений от модели угроз до продакшена в SSDLC/DevSecOps

На вебинаре рассмотрели, почему SAST, DAST, SCA, WAF не снижают риски для frontend-приложений, в реальных инцидентах вредоносный код месяцами крадет данные пользователей в браузере и показали демонстрацию FAST-анализатора DPA FAST Analyzer.

Слайды

PDF

Видео

RutubeLink YoutubeLink VkVideoLink
23.10.2025 доклад

CyberCamp 2025
Моделирование угроз для frontend-приложения: делаем каждый релиз Secure By Design

Существующие практики моделирования угроз неприменимы к frontend-приложениям. Как можно закрыть этот пробел? В рамках доклада рассказали о проблемах существующих подходов моделирования угроз и каталогов угроз — CAPEC, БДУ ФСТЭК, OWASP, WASC, CWE и других, представили собственный фреймворк моделирования угроз для frontend-приложений, созданный с учетом лучших мировых практик, показали, как построить модель угроз для типового приложения и сформировать требования к созданию безопасного ПО с первого релиза и поделились способами контроля безопасности frontend-приложений на всех этапах SSDLC.

Слайды

PDF

Видео

YoutubeLink VkVideoLink
21.10.2025 доклад

FrontendConf 2025
JS-снифферы приходят к нам через NPM. Как обнаружить вредоносные действия до релиза?

Frontend-приложения могут иметь тысячи зависимостей, Supply Chain-атаки в NPM происходят все чаще. О краже данных мы узнаем только из жалоб пользователей через дни и недели после релиза. Разобрали известные инциденты и актуальные риски для frontend-приложений.

Слайды

PDF

Видео

YoutubeLink
25.09.2025 исследование

Результаты исследования безопасности российских frontend-приложений за 1 полугодие 2025 года

В исследовании были проверены приложения более 3000 крупнейших коммерческих российских компаний. С учетом актуальных угроз, известных инцидентов и повышения штрафов за невыполнение 152-ФЗ текущая оценка является неудовлетворительной.

Отчет

PDF

Ссылка

TgLink
22.07.2025 исследование демо

FAST-анализатор: обнаружение вредоносного поведения js-кода на примере реального инцидента

В видео показали, как FAST-анализатор обнаруживает вредоносные действия js-кода на примере реального скрипта злоумышленников на взломанных сайтах сети онлайн-библиотеки Flibusta.

Видео

RutubeLink YoutubeLink VkVideoLink

Ссылка

TgLink
30.06.2025 сервис фреймворк

DPA Frontend Threat Modeling Framework. Фреймворк моделирования угроз для frontend-приложений

Мы запустили бесплатный сервис для автоматизированного создания модели угроз для frontend-приложения. Фреймворк включает более 75 угроз, показатели эффективность защитных мер и автоматически генерирует план обработки рисков для Ваших приложений в зависимости от выбранных параметров.

Ссылка

DpaLink TgLink
27.06.2025 эфир

Эфир AM Live
Разработка безопасного программного обеспечения (РБПО)

В прямом эфире AM Live мы разобрали, как внедрить принципы РБПО в основные этапы жизненного цикла разработки и поддержки ПО: разработка требований к продукту и его архитектуре, моделирование угроз и определение поверхности атаки, статический и динамический анализ, в том числе FAST-анализ (Frontend Application Security Testing).

Видео

YoutubeLink VkVideoLink
23.05.2025 доклад

PHDays Fest 3
Взгляд в темноту. Безопасность frontend-приложений от модели угроз до secure by design

В докладе представлю результаты исследования безопасности более 1000 российских frontend-приложений. Покажу собственный фреймворк моделирования угроз для браузерных JavaScript-приложений, а также расскажу о том, как автоматизированный анализ поведения и профилирование помогут эффективно контролировать безопасность frontend-приложений в DevSecOps.

Слайды

PDF

Видео

RutubeLink YoutubeLink VkVideoLink
25.04.2025 доклад

AppSecFest 2025
Frontend Application Security Testing (FAST). Задачи подхода и место в DevSecOps/SSDLC

Поговорили, почему классические анализаторы (SAST, DAST, IAST, OSA/SCA) не применимы для frontend-приложений, а современный браузер - идеальная точка монетизации взлома для злоумышленников. Рассмотрим, как защититься от Supply Chain-атак в js-библиотеках и выпускать безопасные приложения по принципу Secure By Design с помощью FAST-анализаторов.

Слайды

PDF

Видео

YoutubeLink
03.04.2025 доклад

Территория безопасности 2025
Как обнаружить и предотвратить Supply Chain-атаки на фронтенде?

В докладе рассмотрим вектора проникновения вредоносного кода в frontend-приложения и подробно разберем Supply Chain-атаки: NPM-зависимости, скрипты внешних партнерских сервисов, тег-менеджеры. Вредоносное поведение js-кода не обнаруживается классическими средствами защиты веб-приложений. Разберем подходы Frontend Application Security Testing (FAST) и Frontend Observability и посмотрим, как начать видеть в "слепой зоне", защитить пользователей и предотвратить утечки персональных данных.

Слайды

PDF

2024

09.12.2024 доклад

Сетевая безопасность 2024
Браузер пользователя идеальное место для кражи данных и атак. Как обнаружить утечки там, где WAF не видит?

В докладе сделали обзор инцидентов в frontend-приложениях за последние 5 лет, рассмотрели атаки на цепочки поставок в js-библиотеках и злоупотребление доступом скриптами партнеров, раскрыли подходы Frontend Application Security Testing (FAST) и Frontend Observability и рассказали, как начать видеть в "слепой зоне" и защитить пользователей.

Слайды

PDF
07.11.2024 доклад

SOC FORUM 2024.
Браузер пользователя как источник событий для SOC. Как начать видеть в слепой зоне?

Несмотря на использование WAF, NGFW и других СЗИ веб-приложений, их клиентская часть всегда работает вне контролируемой зоны – в браузере пользователя, и находится в слепой зоне для ИБ. Поэтому злоумышленники все чаще выбирают целью атак frontend-приложения, что позволяет дольше оставаться незамеченными и эффективно монетизировать взлом. Рассмотрели, как использовать браузер в качестве источника событий для SOC и обнаруживать вредоносную активность и утечки в реальном времени.

Слайды

PDF

Видео

RutubeLink YoutubeLink VkVideoLink
30.10.2024 доклад

SafeCode 2024 Autumn
Анализ поведения как способ контроля безопасности frontend-приложений в DevSecOps

JavaScript-приложения, выполняемые в браузерах пользователей, содержат критичную информацию и используются для атак на пользователей. При этом браузер клиента является слепой зоной для безопасности. Поговорили о составляющих профиля поведения frontend-приложения, понятии Software Bill of Behavior (SBOB), методах его автоматизированного сбора и подходе Frontend Application Security Testing (FAST).

Слайды

PDF

Видео

YoutubeLink VkVideoLink
09.10.2024 статья

Content Security Policy (CSP) защитит от js-снифферов и утечек?

Поговорим о задачах CSP и на практике проверим, защитит ли CSP от кражи данных с web-страницы js-сниффером, определим, контролирует ли CSP все каналы передачи информации в браузере и узнаем, достаточно ли только CSP для защиты frontend-приложения.

Ссылка

HabrLink
05.10.2024 доклад

CyberCamp 2024
Анализируем поведение браузерного JavaScript-приложения с помощью Chromium DevTools

JS-приложения, выполняемые в браузерах, содержат конфиденциальную информацию и часто используются для атак на пользователей. При этом браузер является слепой зоной для ИБ. В выступлении поговорили об актуальных рисках при разработке и эксплуатации JS-приложений, разобрали несколько инцидентов, связанных с утечкой данных и провели практический анализ поведения приложения с помощью встроенных инструментов браузера.

Слайды

PDF

Видео

RutubeLink YoutubeLink VkVideoLink
24.05.2024 доклад

PHDays Fest 2
Frontend application security testing (FAST). Задачи подхода и место в DevSecOps

JavaScript-приложения, выполняемые в браузерах пользователей, часто содержат конфиденциальную информацию и могут быть использованы для проведения атак на пользователей. В выступлении поговорили об актуальных рисках, специализированных методах анализа безопасности frontend-приложений при разработке (SSDLC/DevSecOps), подходе FAST и способах обеспечения observability веб-приложений в браузерах пользователей.

Слайды

PDF

Видео

YoutubeLink VkVideoLink

Frontend-приложения являются слепой зоной в информационной безопасности и практически всегда содержат персональные данные пользователей

Злоумышленники осуществляют монетизацию взлома через кражу данных и показ мошеннических баннеров в frontend-приложениях, т. к. существующие средства защиты не могут отличить такие действия от нормальных бизнес-функций.

Продукты DPA Analytics для безопасности frontend-приложений

показывают процессы и потоки данных в frontend-приложениях. Протестируйте решения на Ваших приложениях. Заполните форму для записи на бесплатное тестирование.

Заказать пилот
Продукты
Сервисы
Партнеры
Решения
Исследования
Свяжитесь с нами

Общие вопросы:

info@dpa-analytics.ru

Отдел продаж:

sales@dpa-analytics.ru

Поддержка:

support@dpa-analytics.ru

© 2025 DPA Analytics

Безопасность frontend-приложений Политика конфиденциальности

Данный сайт использует cookie-файлы для наилучшего отображения и удобства пользователя. Продолжая использовать сайт, Вы соглашаетесь с использованием cookie-файлов в соответствии с Политикой конфиденциальности
Понятно