Penetrační testování webových aplikací.
Testujeme podle OWASP OTGv4 a ASVSv4 — včetně API. Dostanete nálezy seřazené dle závažnosti a jasný plán nápravy.
Zabezpečujeme české technologické firmy, které uspěly ve světě.
Penetrační testování webových aplikací
Webové aplikace testujeme podle standardů OWASP — buď OWASP Testing Guide (OTGv4), nebo Application Security Verification Standard (ASVSv4). Součástí testu jsou i API a webové služby.
Testování API není samostatný produkt — je součástí stejné metodiky pro webové aplikace (ASVS V13 výslovně pokrývá API a webové služby).
Dva způsoby testování podle míry rizika
OWASP OTGv4
Široký, konsenzuální test rizik webových aplikací. Zvolte cílený průchod OWASP Top 10, nebo komplexní test celého standardu.
OWASP ASVSv4 — úrovně podle rizika
- Úroveň 1 — Oportunistická: běžné zranitelnosti, pro aplikace, které nezpracovávají cenná data nebo potřebují prvotní prověření.
- Úroveň 2 — Standardní: pro aplikace pracující s cennými daty, kde únik způsobí reálnou finanční nebo reputační škodu. (Sem spadá většina firemních aplikací.)
- Úroveň 3 — Pokročilá: pro byznysově kritické, regulované nebo vysoce zabezpečené systémy — odolá cíleným, pokročilým útokům.
Otestujeme jednotlivý modul i celou aplikaci; black-box nebo grey-box.
Nevíte, která úroveň se vás týká? Právě k tomu slouží úvodní hovor.
Jak test probíhá
Sběr informací
Zmapujeme runtime, server, framework a závislosti.
Identifikace zranitelností
Prověříme bezpečnostní mechanismy aplikace proti OWASP Top 10 / OTGv4 v plném rozsahu.
Analýza a dopad
Ověříme reálnou zneužitelnost a ukážeme, kam by se útočník skutečně dostal.
Co dostanete
Zpráva o čtyřech částech: shrnutí rozsahu, manažerské shrnutí s odborným posudkem stavu vašeho zabezpečení, kontrolní seznam nálezů seřazený podle závažnosti a podrobné nálezy — každý s popisem, dopadem, závažností dle CVSSv3 a konkrétním návrhem opravy. Každý nález prochází peer-review, aby jej váš tým mohl rychle reprodukovat a opravit.
Chcete vidět, jak vypadá náš výstup? Pošleme vám ukázkovou zprávu.
Výstupy z testů využijete pro NIS2, DORA, ISO 27001 i PCI-DSS.
Cena
Cena testu webové aplikace se odvíjí od velikosti aplikace a zvolené hloubky (OTG vs. úroveň ASVS).
Rozsah a cenu potvrdíme na krátkém hovoru.
Náš vhled.
Používáte ORM v 98 % databázových interakcí? Najdeme ta zbylá 2 % a hackneme Vás právě tam!
Často kladené dotazy, vždy zodpovězeny.
Proč jsou webové aplikace častým cílem útoků?
Webové aplikace jsou běžným cílem jednoduše kvůli dostupnosti. Aby se k online službám mohl připojit kdokoli na světě, znamená tato otevřená expozice stejně snadný přístup i pro útočníky.
Opravíte nalezené problémy? Mohu po opravě nechat aplikaci přetestovat?
Ke každé zranitelnosti dáme doporučení podle nejlepších oborových standardů, ale opravu sami neimplementujeme — díky tomu zůstáváme nezávislou třetí stranou a můžeme provést přetestování, jakmile váš tým opravy nasadí.
Co bude obsahovat zpráva z testu?
Zpráva obsahuje seznam nalezených zranitelností s hodnocením závažnosti, manažerské shrnutí, které je propojuje s byznysovým rizikem, a technický popis, aby vývojáři mohli problémy reprodukovat a opravit.
Jaký je rozdíl mezi skenem zranitelností a penetračním testem?
Penetrační test se snaží najít a zneužít bezpečnostní zranitelnosti s cílem zlepšit nebo prokázat bezpečnost systému — často ručně řetězí jeden či více nálezů. Sken zranitelností najde známé zranitelnosti, ale nedokáže je kombinovat ani zneužít k dalšímu ověření bezpečnosti.
Pojďme to probrat.
Napište nám, co potřebujete otestovat — domluvíme si nezávazný hovor a navrhneme rozsah testu.
Domluvit nezávaznou konzultaci ›