attack surface management

  1. Сергей Попов

    Статья Управление поверхностью атаки: как инвентаризировать внешние активы и находить забытые точки входа

    На последнем внешнем пентесте для финтех-компании скоуп содержал 12 доменов. После passive recon я насчитал 47 поддоменов, о которых заказчик не подозревал - среди них staging-API без аутентификации, забытый Jenkins с дефолтными кредами и три dev-окружения с включённым debug-режимом. Два из этих...
  2. Сергей Попов

    Статья EASM инструменты: сравнение Shodan, Censys, FOFA и Netlas для внешней разведки поверхности атаки

    На пентесте финтех-компании в начале 2025 года запустил параллельный поиск по ASN клиента через четыре платформы. Shodan нашёл 47 сервисов, Censys - 52, FOFA - 63, Netlas - 58. Но дело не в цифрах, а в составе: dev-стенд с Kibana без авторизации обнаружился только в FOFA. VPN-шлюз с OpenSSL...