Testy penetracyjne

Etyczne hakowanie zanim zrobi to ktoś inny — web, mobile, API, AI/LLM oraz OT/ICS, ze specjalizacją w sektorach regulowanych.

Zakres testów

Przeprowadzamy testy w pełnym spektrum środowisk — od aplikacji webowych po infrastrukturę przemysłową.

Aplikacje webowe

Testy zgodne z OWASP ASVS 4.0 i OWASP Top 10. SQL injection, XSS, CSRF, SSRF, path traversal, broken auth, insecure deserialization. SAST + DAST.

WEB

Aplikacje mobilne

Android i iOS — analiza statyczna (APK/IPA), dynamiczna, komunikacja sieciowa, przechowywanie danych, błędy uwierzytelniania i autoryzacji. OWASP Mobile Top 10.

MOBILE

Sieć i chmura

Skanowanie portów, segmentacja, firewall, testy usług (SMB/RDP/SSH/VPN). AWS, Azure, GCP — IAM misconfigs, ekspozycja S3, nadmiarowe uprawnienia. Perspektywa wewnętrzna i zewnętrzna, CSPM.

SIEĆ + CHMURA

OT / ICS

Systemy przemysłowe i infrastruktura krytyczna. Ocena separacji IT/OT, analiza protokołów (Modbus, PROFINET, DNP3), weryfikacja polityk dostępu. Protokół bezpieczeństwa bez przestojów.

OT/ICS

API i mikrousługi

REST, GraphQL, gRPC — broken object level auth (BOLA/IDOR), mass assignment, excessive data exposure, brak limitów stawek, błędna walidacja. OWASP API Security Top 10.

API

AI / LLM

Testy aplikacji LLM dla sektorów regulowanych — finansów, ochrony zdrowia i infrastruktury krytycznej. Prompt injection, jailbreak, data exfiltration zgodnie z OWASP Top 10 for LLM Applications.

AI/LLM

Metodyka

Transparentny, ustrukturyzowany proces — od briefu do raportu końcowego z planem remediacji.

Zakres i autoryzacja

Ustalenie zakresu testów, okien czasowych i celów. Podpisanie NDA i Rules of Engagement. Pisemna autoryzacja od właściciela systemu.

Rozpoznanie powierzchni ataku

OSINT, fingerprinting technologiczny, mapowanie zasobów, enumeracja subomen, weryfikacja ekspozycji danych w publicznych źródłach.

Eksploatacja i analiza

OWASP ASVS 4.0, CVSS 4.0, PTES, OSSTMM. Raportowanie krytycznych podatności na bieżąco. Pełna dokumentacja ścieżek ataku i PoC.

Raport i retest

Raport techniczny z CVSS score, PoC i rekomendacjami remediacji + executive summary dla zarządu. Retest krytycznych podatności wliczony w projekt.

OWASP ASVS 4.0OWASP API SecurityOWASP MASVSOWASP Top 10 for LLMCVSS 4.0PTESNIST SP 800-115OSSTMMSASTDASTOSINT

Co zawiera raport

Dwa dokumenty dostosowane do różnych odbiorców — zarząd i zespół techniczny.

Raport techniczny

Pełny opis każdej podatności: CVSS 4.0 score, klasyfikacja CWE/OWASP, dowód eksploatacji (PoC), ścieżka ataku, wpływ biznesowy, rekomendacje remediacji z priorytetyzacją czasową.

DLA ZESPOŁU IT

Executive summary

Przystępne podsumowanie dla kierownictwa: ogólna ocena ryzyka, rozkład podatności według krytyczności, kluczowe wnioski i plan naprawczy bez żargonu technicznego.

DLA ZARZĄDU

Retest poprawek

Retest podatności krytycznych i wysokich jest standardowo wliczony w projekt. Weryfikujemy skuteczność zastosowanych remediacji i wystawiamy potwierdzenie usunięcia.

WLICZONY W PROJEKT

Często zadawane pytania

Jak długo trwa typowy pentest aplikacji webowej?

Dla standardowej aplikacji webowej zakres testów zajmuje 5–10 dni roboczych. Czas zależy od złożoności i uzgodnionego zakresu. Harmonogram ustalamy indywidualnie przed podpisaniem umowy.

Czy pentest wymaga przerwy w działaniu systemów?

Nie. Testy przeprowadzamy w trybie bezpiecznym, bez wymaganych przestojów. W przypadku środowisk OT stosujemy osobny protokół bezpieczeństwa uzgodniony z operatorem.

Jakie dokumenty podpisujemy przed projektem?

Przed każdym projektem podpisujemy NDA, umowę o zaangażowaniu (Rules of Engagement) oraz zakres testów. Dla infrastruktury krytycznej wymagamy pisemnej autoryzacji od właściciela systemu.

Czy pomagacie w remediacji po projekcie?

Tak. Oferujemy konsultacje techniczne, retest poprawek i wsparcie dla zespołu deweloperskiego. Retest podatności krytycznych jest standardowo wliczony w projekt.

Gotowy na test?

Pierwsza konsultacja jest bezpłatna. Odpowiemy w ciągu jednego dnia roboczego.

Umów konsultację