Ile trwa test penetracyjny?

Czas zależy od zakresu, liczby ról i złożoności systemu. Mała aplikacja lub API to zwykle kilka dni roboczych, a większy system z wieloma rolami, integracjami i retestem wymaga indywidualnej wyceny.

Czy raport zawiera rekomendacje dla programistów?

Tak. Raport zawiera opis techniczny podatności, dowody, kroki reprodukcji, ocenę ryzyka, rekomendacje naprawcze i kryteria retestu.

Czy wykonujecie retest po poprawkach?

Tak. Retest potwierdza, czy podatności zostały skutecznie usunięte, częściowo usunięte albo wymagają dalszej pracy.

O nas

Testy bezpieczeństwa prowadzone przez praktyków offensive security

TestyPenetracyjne.pl to wyspecjalizowana marka skupiona na testach penetracyjnych, audytach bezpieczeństwa i retestach dla firm, które potrzebują konkretnych wyników: potwierdzonych podatności, dowodów technicznych, priorytetów napraw i raportu zrozumiałego dla zarządu, IT oraz developmentu.

Nie sprzedajemy samego skanu. Dostarczamy decyzje techniczne i biznesowe.

W projektach bezpieczeństwa najważniejsze nie jest to, ile alertów da się wygenerować. Najważniejsze jest ustalenie, które podatności naprawdę zwiększają ryzyko organizacji, jak można je wykorzystać, jaki mają wpływ na dane i procesy oraz w jaki sposób należy je naprawić. Dlatego łączymy ręczne testy, analizę architektury, weryfikację automatyczną, modelowanie ryzyka i jasne raportowanie.

Pracujemy w oparciu o sprawdzone metodyki i standardy: OWASP ASVS, OWASP API Security Top 10, OWASP MASVS, OWASP WSTG, PTES, OSSTMM, CVSS v3.1, STRIDE, MITRE ATT&CK, CWE oraz wymagania wynikające z ISO 27001, NIS2, DORA i wewnętrznych polityk bezpieczeństwa klientów. Zakres zawsze dopasowujemy do systemu, a nie odwrotnie.

Doświadczenie praktyczne

Testujemy aplikacje webowe, API, infrastrukturę, środowiska chmurowe, mobile, Active Directory i systemy wielodostępowe. Interesuje nas realny wpływ błędu, a nie sama obecność alertu.

Raport dla trzech odbiorców

Zarząd otrzymuje wpływ biznesowy i priorytety. IT dostaje zakres, ograniczenia i plan działań. Developerzy dostają PoC, request/response, kryteria retestu i rekomendacje naprawcze.

Retest i zamknięcie ryzyka

Po poprawkach weryfikujemy, czy problem został usunięty skutecznie. Retest porządkuje statusy: usunięte, częściowo usunięte, nieusunięte, zaakceptowane lub niemożliwe do weryfikacji.

Jak wygląda nasz standard pracy

Etap	Co robimy	Co dostaje klient
Ustalenie zakresu	Analizujemy aplikacje, role, środowiska, konta testowe, okna testowe, ograniczenia i cel biznesowy.	Jasny zakres prac, założenia, wymagane dostępy i plan testu.
Testy manualne	Weryfikujemy podatności techniczne, autoryzację, logikę biznesową, konfigurację i łańcuchy ataku.	Potwierdzone podatności, dowody i kontekst ryzyka.
Raport	Opisujemy wpływ, CVSS, STRIDE, kroki reprodukcji, rekomendacje i priorytety napraw.	Raport techniczny, executive summary i materiał do backlogu.
Omówienie i retest	Wyjaśniamy wyniki, odpowiadamy na pytania zespołu, a po poprawkach wykonujemy retest.	Status usunięcia podatności i zamknięcie projektu dowodami.

Potrzebujesz testu bezpieczeństwa, który nie skończy się listą niezweryfikowanych alertów?Opisz system, liczbę ról, środowiska i oczekiwany termin. Przygotujemy zakres, który będzie miał sens techniczny, biznesowy i audytowy.Wyceń test penetracyjny