// Metodologia

Co robimy

🔬 SAST - analiza statyczna

Przegląd kodu źródłowego w poszukiwaniu podatności bezpieczeństwa - bez uruchamiania aplikacji. Wykrywamy błędy logiczne, niebezpieczne funkcje i złe praktyki bezpieczeństwa.

⚡ DAST - analiza dynamiczna

Testy działającej aplikacji - szukamy podatności takich jak XSS, SQLi, IDOR, broken access control, eksponowane endpoints i błędy konfiguracji.

📋 OWASP Top 10

Systematyczne testy według najnowszej listy OWASP - od Broken Access Control po Security Misconfiguration i Server-Side Request Forgery.

🔌 Bezpieczeństwo API

OWASP API Top 10 - broken object level authorization, mass assignment, brak rate limitingu, eksponowanie wewnętrznych endpointów, problemy z tokenami JWT.

🤖 Android

Analiza APK, dekompilacja i reverse engineering, dynamiczna analiza z Fridą, insecure data storage, problemy z komunikacją sieciową i certyfikatami.

🍎 iOS

Analiza IPA, keychain security, ATS (App Transport Security), dynamiczna analiza z Fridą na urządzeniu, insecure deeplinks i custom URL schemes.

// Dla kogo

Kiedy warto zlecić testy bezpieczeństwa aplikacji

🚀

Przed wdrożeniem

Aplikacja idzie na produkcję - to ostatni moment żeby wyłapać krytyczne podatności zanim zrobią to użytkownicy lub atakujący.

💳

Dane wrażliwe lub płatności

Aplikacja przetwarza dane osobowe, medyczne lub obsługuje płatności - ryzyko jest wysokie, a wymagania regulacyjne jasne.

🔄

Po dużym release

Każda większa zmiana w architekturze lub dodanie nowych funkcji to potencjalne nowe podatności - warto sprawdzać regularnie.

// FAQ

Najczęstsze pytania

Czy musicie mieć dostęp do kodu źródłowego?

Nie jest to wymagane. Możemy przeprowadzić testy black-box (bez kodu) - manualne i automatyczne testy działającej aplikacji. Dostęp do kodu (white-box) pozwala na głębszą analizę i wykrycie podatności trudnych do znalezienia od zewnątrz. Rekomendujemy white-box lub gray-box dla najlepszych wyników.

Co to jest OWASP Top 10?

OWASP Top 10 to lista 10 najpoważniejszych kategorii podatności w aplikacjach webowych, publikowana przez organizację OWASP (Open Worldwide Application Security Project). Obejmuje m.in. Broken Access Control, Cryptographic Failures, Injection (SQL, XSS), Insecure Design, Security Misconfiguration. Każde testy bezpieczeństwa aplikacji powinny obejmować przynajmniej tę listę.

Testujecie aplikacje na środowisku testowym czy produkcyjnym?

Preferujemy środowisko testowe (staging), maksymalnie zbliżone do produkcji. Pozwala to na agresywniejsze testy bez ryzyka wpływu na prawdziwych użytkowników. Jeśli środowisko testowe nie istnieje, możemy pracować na produkcji w uzgodnionym oknie czasowym z minimalnymi danymi.

Sprawdź bezpieczeństwo swojej aplikacji

Opisz nam aplikację i zakres testów - odpiszemy w 24h z bezpłatną wyceną.

Umów konsultację

Bezpieczeństwo aplikacji