// Zakres

Co testujemy

🌐

Aplikacje webowe

OWASP Top 10, logika biznesowa, uwierzytelnianie i autoryzacja, zarządzanie sesjami, podatności po stronie klienta.

🔌

API i usługi REST

Broken object level authorization, nadmierne uprawnienia, brak limitowania żądań, ekspozycja wrażliwych danych.

🖧

Infrastruktura sieciowa

Skanowanie portów i usług, podatne wersje oprogramowania, błędne konfiguracje firewalli i VPN.

🪟

Active Directory

Kerberoasting, Pass-the-Hash, eskalacja uprawnień, BloodHound - kompletna analiza środowiska Windows AD.

📱

Aplikacje mobilne

Android i iOS - analiza statyczna i dynamyczna (Frida), przechowywanie danych, komunikacja sieciowa.

☁️

Środowiska chmurowe

Błędne konfiguracje AWS/Azure/GCP, nadmierne uprawnienia IAM, ekspozycja zasobów storage.

// Proces

Jak wygląda współpraca

1

Ustalamy zakres

Definiujemy co testujemy, w jakim trybie (black/gray/white-box) i w jakich godzinach.

2

Podpisujemy NDA

Pełna poufność na każdym etapie - znalezione podatności zostają między nami.

3

Przeprowadzamy testy

Manualne testy + zautomatyzowane skanowanie. Czas trwania zależy od zakresu.

4

Raport + retest

Szczegółowy raport z CVSS, krokami reprodukcji i planem naprawy. Retest po wdrożeniu poprawek.

// FAQ

Najczęstsze pytania

Czym różni się pentest black-box od white-box?

Black-box - tester nie ma żadnych informacji o systemie, symuluje zewnętrznego atakującego. White-box - tester ma dostęp do kodu źródłowego, dokumentacji i konfiguracji, co pozwala na głębszą analizę. Gray-box - wariant pośredni (np. tester ma konto zwykłego użytkownika). Dla większości firm rekomendujemy gray-box - dobry balans między realnością ataku a głębokością analizy.

Ile trwa test penetracyjny?

Zależy od zakresu. Pentest pojedynczej aplikacji webowej to zazwyczaj 3–5 dni roboczych. Test infrastruktury sieciowej lub środowiska AD - od tygodnia wzwyż. Na etapie wyceny zawsze podajemy szacowany czas.

Czy pentest wymaga przestoju systemu?

Standardowo nie - testy prowadzimy na działających systemach produkcyjnych lub środowiskach testowych, w uzgodnionych godzinach, żeby nie zakłócać pracy. Jeśli zakres obejmuje destruktywne testy (np. DoS), uzgadniamy osobne okno serwisowe.

Ile kosztuje test penetracyjny?

Ceny zaczynają się od kilku tysięcy złotych za pentest małej aplikacji webowej. Dokładna wycena zależy od zakresu, złożoności systemu i trybu testów. Napisz do nas - przygotujemy bezpłatną wycenę po krótkiej rozmowie o Twoim projekcie.

Co zawiera raport po pentestcie?

Raport zawiera: podsumowanie wykonawcze (dla zarządu), listę znalezionych podatności z oceną ryzyka (CVSS), opis techniki ataku z krokami reprodukcji, zrzuty ekranu jako dowód, rekomendacje naprawy z priorytetami oraz ogólną ocenę poziomu bezpieczeństwa. Raport jest dostarczany w wersji PDF.

Gotowy na test?

Opisz nam swój system lub infrastrukturę - odpiszemy w 24h z bezpłatną wyceną.

Umów konsultację

Testy penetracyjne