Penetrační testování

Neděláme jen OWASP Top 10 checky a generické reporty. Začneme pochopením vaší aplikace — co dělá, jaká data zpracovává a co by způsobilo největší škodu, kdyby selhala. Uděláme rychlý threat model, identifikujeme use cases, které váš byznys trápí nejvíc, a pak tyto scénáře otestujeme do hloubky. Výsledek: přesně víte, kde by vás útočník mohl nejvíc zranit.

Co je zahrnuto

Business-Driven hodnocení hrozeb

Před sáhnutím na klávesnici pochopíme vaši aplikaci, datové toky a největší obavy. Rychlá session modelování hrozeb k identifikaci use cases, které mohou způsobit největší byznys škodu — ty testujeme první a nejhlouběji.

Penetrační testování webových aplikací

Za hranicemi OWASP Top 10 — testujeme chyby obchodní logiky, obcházení autentizace, eskalaci oprávnění a vícekrokové útočné řetězce specifické pro to, jak vaše aplikace funguje. Vlastní testovací případy odvozené z threat modelu.

Testování bezpečnosti API

REST, GraphQL, gRPC — testované na broken access control, injection, nadměrnou expozici dat a zneužití obchodní logiky. Testujeme API způsobem, jakým s ním interagují skuteční útočníci, ne jen dokumentované endpointy.

Infrastrukturní a síťový penetrační test

Externí a interní hodnocení sítě. Obcházení firewallu, útočné cesty přes Active Directory, eskalace oprávnění, simulace laterálního pohybu a validace segmentace.

Sociální inženýrství

Phishing, vishing a testování fyzického přístupu. Testujeme vaše lidi, nejen technologie. Často kombinované s technickým pentestem pro realistické vícevektorové scénáře.

Detailní report a osobní debrief

Manažerské shrnutí pro vedení, technické nálezy s CVSS a reálným byznys dopadem pro inženýry, postupné pokyny k nápravě a osobní debrief s vaším týmem. Možnost retestu v ceně.

Jak to funguje

1

Scoping a Threat Model

Pochopení aplikace, její architektury a byznysového kontextu. Rychlé modelování hrozeb pro identifikaci nejvíce rizikových use cases. Definice rozsahu, pravidel a komunikačních kanálů.

2

Průzkum

Pasivní a aktivní sběr informací. Mapování attack surface z pohledu útočníka — před zahájením exploitace.

3

Cílená exploitace

Nejdřív testujeme vysoce rizikové scénáře z threat modelu. Pak systematické pokrytí standardních útočných vektorů. Každý krok kontrolovaný, bezpečný a zdokumentovaný.

4

Post-exploitace a dopad

Jak daleko se dostaneme? Jaká data jsou přístupná? Na jaké systémy se dá přesunout? Demonstrujeme skutečný byznys dopad — ne jen technickou závažnost.

5

Report a osobní debrief

Komplexní report s nálezy prioritizovanými podle byznys dopadu. Sedneme si s vaším týmem, projdeme každý nález a společně probereme přístupy k nápravě.

Pro koho je to určeno

Firmy s vlastními webovými aplikacemi nebo API
Bezpečnostní due diligence před IPO nebo M&A
Hodnocení po incidentu — najděte, co našel útočník
Organizace s regulatorními požadavky (NIS2, DORA, PCI DSS)
Vývojové týmy chtějící ověřit bezpečnost před releasem
Firmy, které dostaly generický pentest report a chtějí skutečnou hloubku

Související služby

Řízení zranitelnostiAplikační bezpečnostPhishingové testování a školení

Jste připraveni začít?

Domluvte si bezplatné posouzení a probereme vaše bezpečnostní potřeby.

Domluvit bezplatné posouzení