Přeskočit na obsah
Securent

Penetrační testy

Penetrační testy jsou cílené bezpečnostní audity webových nebo mobilních aplikací, které simulují reálný útok z pohledu externího nebo interního útočníka. Cílem je odhalit zranitelnosti, chybné konfigurace a slabiny v implementaci, které mohou vést k úniku dat, neoprávněnému přístupu nebo narušení integrity systému.

Testy probíhají ručně i automatizovaně podle metodik OWASP Testing Guide, OWASP Top 10 a případně dalších relevantních standardů (např. MASVS pro mobilní aplikace).

Pro koho jsou vhodné?

Penetrační testy mají smysl ve čtyřech typických scénářích využití.

  • Testování nové aplikace před nasazením do produkce
  • Pravidelný bezpečnostní audit aplikací dle interních či legislativních požadavků
  • Kontrola po větší aktualizaci systému nebo změně infrastruktury
  • Ověření souladu s bezpečnostními rámci (např. GDPR, PCI DSS, ISO 27001)

Co služba zahrnuje

Test pokrývá šest navazujících kroků od úvodní analýzy po volitelný retest.

  • Úvodní analýzu aplikace a sběr informací (reconnaissance)
  • Ruční i automatizované testování bezpečnostních slabin
  • Testování autentizace, autorizace, validace vstupů, logiky aplikace a ochrany dat
  • Ověření odolnosti proti nejčastějším útokům
    • SQL Injection, XSS, CSRF, IDOR, SSRF, RCE a další
  • Závěrečnou zprávu s nálezy, doporučenými opatřeními a kategorizací rizik (např. dle CVSS)
  • Volitelně: opakovaný retest po opravách

Časté otázky

Časté otázky: Penetrační testy

Webové (frontend + backend API) a mobilní (iOS i Android, podle metodiky MASVS). Test nasadíme buď před produkčním releasem, nebo periodicky pro dlouhodobě běžící aplikace.
Pro webové aplikace OWASP Testing Guide a OWASP Top 10. Pro mobilní MASVS. Klademe důraz na manuální testování v kombinaci s automatizovanými nástroji, protože automatika sama přehlédne řadu logických zranitelností.
Ano, opakovaný retest po opravách je volitelnou součástí služby. Retest se zaměřuje pouze na opravené nálezy a potvrdí, že byly skutečně odstraněny a že oprava nezavedla nový problém.
Ano, závěrečná zpráva obsahuje rozsah testu, použité metodiky (OWASP Testing Guide / MASVS), datum, identifikaci testovaného prostředí, nálezy s CVSS a doporučená opatření, což jsou údaje, které auditor pro doložení provedeného pentestu typicky vyžaduje. Pro plnou auditní stopu je obvykle potřeba doložit i zaměřený retest po opravách významných nálezů, ten nabízíme jako volitelnou součást.

Související služby

Mohlo by vás zajímat

Všechny služby

Další služby

Základ vaší bezpečnosti

Doplňkové bezpečnostní služby