Нужно понять, что реально открыто наружу.
Чаще всего клиенту нужен не абстрактный "security review", а ответ про внешний периметр, edge, доступные сервисы и drift в конфигурации.
// services
Virusologia продает не набор сканеров, а понятный результат: согласованный scope, валидация фактов, evidence-first отчет, remediation roadmap и ретест по тем же условиям.
Чаще всего клиенту нужен не абстрактный "security review", а ответ про внешний периметр, edge, доступные сервисы и drift в конфигурации.
Риски чаще всего сидят в авторизации, lifecycle объектов, бизнес-логике, session trust и неочевидных интеграциях между ролями.
После проверки должны остаться не красивые слова, а owner, SLA, impact, ретест и понятный план исправлений.
Домены, TLS, reverse proxy, панели, VPN, хосты, публичные сервисы, обновления и конфигурационный drift.
Auth, sessions, IDOR/BOLA, role/state coverage, загрузки, business logic, security headers и evidence packs.
Executive summary, validated findings, remediation roadmap, machine-readable export и повторный прогон после исправлений.
// engagement model
Вы присылаете активы, ограничения, окно тестирования, желаемый результат и подтверждение разрешения.
Мы отделяем in-scope от out-of-scope, уточняем критичные сценарии и фиксируем безопасный режим работы.
Проводим проверку и отделяем реальные findings от coverage gaps, гипотез и низкокачественного шума.
Передаем клиенту deliverable, backlog исправлений и условия ретеста, чтобы работа завершилась действием.
// who this is for
Когда нужно проверить сайт, личный кабинет, B2B-панель или API до релиза или после крупного изменения.
Когда нужен внешний аудит edge, VPN, публичных сервисов, серверной конфигурации и мониторинга.
Когда важны клиентские deliverables: PDF/HTML/JSON, evidence quality, remediation и ретест.