Digital Security представила систему анализа кода ERPScan CheckCode

Александр Панасенко 11 Октября 2013 - 12:17

Аудит безопасности веб-сайта (сканер уязвимостей веб-сайта)

Средства управления информационной безопасностью

...

ERPScan представили новый продукт собственной разработки - cистему статического анализа кода ERPScan CheckCode. Это решение предназначено для поиска потенциальных уязвимостей и закладок в программном коде и совмещает как типовые современные методы поиска уязвимостей, так и методы поиска программных закладок, специфичных для бизнес-приложений.

Статический анализатор кода, разработанный ERPScan, позволяет выявлять проблемы безопасности на этапе разработки и эксплуатации информационной системы. В данный момент ERPScan CheckCode поддерживает следующие языки: ABAP/4, PeopleCode, X++, и1C. В ближайшее время запланирована поддержка JAVA, C, C++, C#, PHP, PL/SQL.

Компания шла к созданию этого продукта несколько лет. Эксперты ERPScan активно ведут работу по анализу защищенности бизнес-приложений и исследования исходного кода на языке ABAP уже не один год. Серьезным шагом на этом пути стало создание несколько лет назад статического анализатора ABAP-кода, входящего в состав ERPScan Security Monitoring Suite for SAP, в котором применение уникальных собственных алгоритмов позволило успешно искать уязвимости, существенно минимизировав при этом число ложных срабатываний и обеспечив должную полноту поиска. Успешно решив эту непростую задачу для АВАР, одного из самых сложных на сегодня языков для бизнес-приложений, в ERPScan задались целью адаптировать этот опыт и для других языков. В итоге, был создан отдельный продукт - ERPScan CheckCode.

Одной из общеизвестных проблем статического анализа кода является количество ложных срабатываний при поиске уязвимостей, связанных с неправильной валидацией данных. Исследования ERPScan показывают, что более 70 % уязвимостей в большинстве языков крайне сложно обнаружить без применения статического анализа с потоками данных, что обуславливает необходимость этой технологии для статических сканеров исходного кода.

Илья Медведовский: «Одним из главных преимуществ новой системы ERPScan CheckСode является использование технологии анализа потока данных собственной разработки для уменьшения количества ложных срабатываний при высокой полноте анализа. Мы не сомневаемся, что наш продукт будет востребован на российском и зарубежных рынках, поскольку сегодня существует большая потребность в оптимальных с точки зрения качества работы и стоимости решениях для анализа исходного кода».

Следующая главная новость »

ИИ в руках хакеров: как меняются кибератаки в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 25 Июня 2026 - 10:01

Уязвимости программ Домашние пользователи

В образовательных приложениях нашли более 1000 опасных уязвимостей

Приложения для изучения языков, электронные дневники и сервисы для репетиторов оказались далеко не такими безопасными, как хотелось бы. Специалисты AppSec Solutions проверили 87 популярных образовательных приложений и обнаружили около 2,5 тысячи уязвимостей. Из них 1065 получили высокий или критический уровень опасности.

По сравнению с прошлым годом ситуация заметно ухудшилась. Общее число найденных проблем выросло на 41%, а количество критических уязвимостей — сразу на 56%. Теперь почти каждая вторая обнаруженная проблема относится к высокой или критической категории риска.

Самая частая находка — конфиденциальные данные, оставленные прямо в коде приложения. Речь идет о паролях, токенах доступа, ключах шифрования и параметрах тестовой среды. Если злоумышленник доберётся до такой информации, под угрозой окажутся не только пользователи, но и серверная инфраструктура самого сервиса.

Не менее опасной оказалась уязвимость ArbitraryActivityStart. Она позволяет обращаться к внутренним экранам приложения в обход обычной логики работы. В результате злоумышленник может получить доступ к закрытым функциям, изменить настройки или создать условия для кражи данных пользователя.

Еще одна распространённая проблема — отсутствие защиты от подключения отладчика. Такой дефект значительно упрощает анализ приложения, помогает изучить его внутреннюю логику и в дальнейшем использовать найденные слабые места для взлома.

Как отмечают исследователи, образовательные сервисы особенно активно используют школьники, студенты и преподаватели, а в период экзаменов нагрузка на такие платформы резко возрастает. При этом многие разработчики до сих пор выпускают обновления без полноценной проверки безопасности и не включают регулярное тестирование в процесс разработки.

В итоге приложения, которые должны помогать получать знания, нередко сами становятся источником рисков — причём как для персональных данных пользователей, так и для инфраструктуры образовательных платформ.

ИИ в руках хакеров: как меняются кибератаки в 2026?
Регистрируйтесь на эфир!