Ile trwa test penetracyjny?

Czas zależy od zakresu, liczby ról i złożoności systemu. Mała aplikacja lub API to zwykle kilka dni roboczych, a większy system z wieloma rolami, integracjami i retestem wymaga indywidualnej wyceny.

Czy raport zawiera rekomendacje dla programistów?

Tak. Raport zawiera opis techniczny podatności, dowody, kroki reprodukcji, ocenę ryzyka, rekomendacje naprawcze i kryteria retestu.

Czy wykonujecie retest po poprawkach?

Tak. Retest potwierdza, czy podatności zostały skutecznie usunięte, częściowo usunięte albo wymagają dalszej pracy.

Baza wiedzy

Baza wiedzy o testach penetracyjnych, OWASP, API security i audytach

Publikujemy poradniki techniczne i zakupowe dla firm, które chcą świadomie zamówić testy bezpieczeństwa, przygotować zakres i dobrze wdrożyć poprawki po raporcie.

WEB SECURITY

Testy penetracyjne aplikacji webowych: jak wygląda dobry pentest, który znajduje realne ryzyko

Długi, techniczny przewodnik po pentestach aplikacji webowych: zakres, metodologia, przykłady błędów, raport i retest.

testy-penetracyjne-aplikacji-webowych

API SECURITY

Testy penetracyjne API: REST, GraphQL, BOLA, IDOR i błędy autoryzacji, których nie widzi frontend

Techniczny przewodnik po pentestach API: autoryzacja obiektów, role, GraphQL, rate limiting, dane nadmiarowe i raportowanie ryzyka.

testy-penetracyjne-api

INFRASTRUCTURE

Pentest infrastruktury: zewnętrzna powierzchnia ataku, sieć wewnętrzna, Active Directory i realna eskalacja

Długi przewodnik po testach infrastruktury: rekonesans, usługi, konfiguracje, podatności, AD, ekspozycja i priorytety napraw.

pentest-infrastruktury

ASVS

OWASP ASVS w praktyce: jak zamienić pentest aplikacji w uporządkowany program bezpieczeństwa

Praktyczne wykorzystanie OWASP ASVS do testów aplikacji, wymagań bezpieczeństwa, raportowania i rozmów z klientami korporacyjnymi.

owasp-asvs-certification

COMPLIANCE

NIS2, DORA i testy penetracyjne: jak zbudować dowody bezpieczeństwa, a nie tylko odhaczyć audyt

Przewodnik dla firm regulowanych: pentesty, retesty, dokumentacja ryzyka, dowody techniczne i priorytety napraw dla zarządu.

nis2-dora-pentest

MOBILE

Testy aplikacji mobilnych Android i iOS: OWASP MASVS, reverse engineering, API i dane lokalne

Rozbudowany przewodnik po pentestach mobile: APK/IPA, storage, cert pinning, komunikacja, jailbreak/root, backend API i raportowanie.

testy-aplikacji-mobilnych

RED TEAM

Red Team i kontrolowana socjotechnika: jak testować ludzi, procesy, detekcję i reakcję bez robienia chaosu

Praktyczne podejście do red teamingu, phishingu kontrolowanego, testów detekcji, zasad bezpieczeństwa i raportowania wniosków.

red-team-i-socjotechnika

PORADNIK

Jak wybrać firmę od testów penetracyjnych i nie kupić raportu ze skanera

Długi poradnik zakupowy: pytania do wykonawcy, czerwone flagi, jakość raportu, retest, zakres, cena i dowody manualnej pracy.

jak-wybrac-firme-pentest