SolidSoft создает продукты по защите веб-приложений.
Компания была основана в 2014 году на базе независимой лаборатории безопасности SolidLab, которая занимается анализом защищенности информационных ресурсов, настройкой средств защиты, организацией процесса разработки защищенных приложений, мониторингом и реагированием на инциденты

Основной продукт компании SolidSoft — интеллектуальный сетевой экран для защиты веб-приложений SolidWall WAF. Решение защищает критичные веб-ресурсы от внешних атак и дает возможность контролировать сценарии использования приложений.
Компания SolidSoft является резидентом ИТ-кластера Инновационного центра «Сколково»

SolidWall WAF

SolidWall WAF является интеллектуальным сетевым экраном прикладного уровня, предназначенным для мониторинга веб‑приложений на наличие интернет‑угроз, и обладает следующими основными возможностями:

1. Анализ трафика веб‑приложений и обнаружение атак (вторжений);
2. Анализ трафика веб‑приложений на наличие уязвимостей (модуль FAST);
3. Активное сканирование веб‑приложений на наличие уязвимостей (модуль DAST);
4. Инвентаризация бизнес‑логики и программных компонентов приложения с использованием анализа трафика или активного сканирования;
5. Иинформирование о проведении следующего вида атак на веб‑приложение:

• всевозможные виды инъекций (SQL injection, OS injection, RCE, XPath-injection, XXE);
• реализация атак на обратный путь в директориях и на включение удаленных или локальных файлов (Directory traversal, Remote/Local File Inclusion);
• межсайтовый скриптинг (XSS);
• межсайтовая подделка запросов (CSRF);
• реализация атак, эксплуатирующих небезопасные настройки веб-приложений (security misconfiguration);
• реализация переборных атак (bruteforce);
• «умный» DoS (application-level DoS);
• реализация атак, эксплуатирующих недостатки системы аутентификации (фиксация сессии, кража сессии, отсутствие таймаута и т.п.);
• реализация атак на механизмы авторизации (Insecure Direct Object References, Missing Function Level Access Control);
• автоматизированный обход приложения, массовое скачивание информации, использование сканеров уязвимостей (web scraping, automation);

1. Обнаружение потенциальных точек ввода данных (Data Entry Points):

• сrawling (переход по ссылкам);
• dirbusting (перебор URL по словарю);
• JavaScript Static/Dynamic Testing (cтатико-динамический анализ JS);
• FAST (функциональное тестирование безопасности приложений, получение данных DEP путем анализа трафика веб-приложения с использованием модуля proxy);
• поддержка формата Open API (загрузка описаний API);

1. Информирование о наличии следующих видов уязвимостей веб-приложений:

• уязвимости стандартных компонент приложений и инфраструктуры их доставки;
• SQL Injection (внедрение команд языка SQL-запросов);
• NoSQL Injection (внедрение команд языка нереляционных БД);
• XSS (межсайтовая подделка запросов);
• XXE (включение внешних сущностей XML);
• Insecure Serialization (небезопасная сериализация);
• JS Prototype Pollution (изменение прототипа базовых объектов);
• JS DOM Based XSS (XSS с использованием DOM браузера);
• Использование небезопасных паролей.

1. Обнаружение подозрительной активности пользователей вeб-приложений;
2. Автоматическая настройка механизмов анализа SolidWall WAF под конкретное приложение (обучение);
3. Контроль доступа к функциям и журналирование действий пользователей анализируемых приложений;
4. Построение распределенных отказоустойчивых конфигураций;
5. Управление с использованием веб-интерфейса, интерфейса командной строки или REST API;
6. Встраивание в конвейер CI/CD;
7. Интеграция с внешними системами управления событиями информационной безопасности (SIEM) и с системами управления задачами (issue tracking)