Testy penetracyjne aplikacji i infrastruktury
Pentest ma sens wtedy, kiedy wynik jest użyteczny: jasne ryzyka, konkretne kroki naprawcze i możliwość poprawy. Testuję aplikacje webowe, API i konfigurację pod kątem realnych wektorów ataku — od IDOR i XSS po SQLi, SSRF i błędy autoryzacji.
Dla kogo
- Firmy przed dużym releasem lub wejściem na rynek enterprise
- Zespoły po migracji, refaktorze auth lub dużej zmianie w API
- Startupy SaaS, które muszą udowodnić bezpieczeństwo klientom i inwestorom
- Organizacje po incydencie — weryfikacja, czy luki zostały naprawione
Zakres usługi
- Testy aplikacji webowych i REST/GraphQL API
- Auth, sesje, JWT, OAuth i kontrola dostępu (IDOR, privilege escalation)
- Konfiguracja: nagłówki bezpieczeństwa, CORS, rate limiting, CSP
- Injection (SQL, NoSQL, command), XSS, SSRF, file upload, business logic flaws
- Opcjonalnie: retest po wdrożeniu poprawek
Jak pracujemy
- Ustalenie zakresu, środowiska testowego i reguł gry (black/grey box)
- Rozpoznanie i testy manualne + narzędzia, zgodnie z metodyką OWASP
- Weryfikacja znalezisk i ocena ryzyka biznesowego
- Raport Executive + Technical z priorytetami i rekomendacjami naprawy
- Omówienie wyników i wsparcie przy remediation (opcjonalnie retest)
Co otrzymujesz
- Raport z podsumowaniem dla zarządu i szczegółami technicznymi
- Lista podatności z priorytetami (krytyczne / wysokie / średnie / niskie)
- Konkretne kroki naprawcze — nie tylko „zaktualizuj bibliotekę”
- Materiał do rozmów z dev teamem, audytorem lub klientem enterprise
Najczęstsze problemy, które rozwiązujemy
- Brak pewności, czy aplikacja wytrzyma realny atak przed produkcją
- Poprzedni skan automatyczny wykazał setki alertów bez priorytetów
- Klient B2B wymaga pentestu lub raportu bezpieczeństwa w RFP
- Po audycie wiele rekomendacji, ale brak weryfikacji skuteczności poprawek
FAQ
Czym różni się pentest od skanera podatności?
Skaner wykrywa znane sygnatury i często generuje szum. Pentest to manualna weryfikacja, łańcuchy ataków i kontekst biznesowy — w raporcie dostajesz to, co naprawdę grozi aplikacji.
Ile trwa test penetracyjny?
Typowy pentest web/API dla jednej aplikacji to 1–2 tygodnie, w zależności od zakresu, liczby ról użytkowników i środowisk (stage/prod).
Czy pentest psuje dane produkcyjne?
Testy przeprowadzam na uzgodnionym środowisku. Dla produkcji stosujemy ograniczenia i okna testowe, żeby nie zakłócać działania biznesu.
Czy potrzebuję audytu przed pentestem?
Nie zawsze. Pentest sprawdza techniczne wektory ataku. Audyt IT ma szerszy zakres (polityki, procesy, infrastruktura). Często łączę oba podejścia w zależności od potrzeb firmy.
Czy raport jest zrozumiały dla zarządu?
Tak — raport zawiera executive summary z ryzykami biznesowymi oraz sekcję techniczną dla zespołu dev.
Czy oferujecie retest po poprawkach?
Tak, retest to osobny, krótszy etap weryfikujący, czy zgłoszone luki zostały skutecznie zamknięte.