Ověřím, které slabiny jsou skutečně zneužitelné a jaký mají reálný dopad.

Penetrační testování je vhodné tam, kde potřebujete nezávisle ověřit odolnost webu, aplikace nebo vybraného rozsahu infrastruktury z pohledu útočníka.

Má smysl začít, když známe rozsah a rozhodnutí, které má test podpořit.

Penetrační test není obecná kontrola bezpečnosti. Největší hodnotu má ve chvíli, kdy je jasné, jaký systém se testuje, kdo výstup použije a jak rychle mají navázat opravy.

Typický rozsah

Web, aplikace nebo API Jasně vymezený cíl, role, prostředí, testovací účty a pravidla práce.

Cenový filtr

Review od 75 000 Kč Plnohodnotný penetrační test typicky od 120 000 Kč podle rozsahu.

Výstup

Nálezy použitelné pro opravy Dopad, důkaz, priorita a doporučení, aby technický tým věděl, co má změnit.

Kdy zvolit security review a kdy penetrační test

Technické ověření má největší hodnotu, když je jasné, co se testuje, proč se to testuje a kdo bude podle výstupu opravovat.

Situace Proč právě tento krok Co má být jasné potom
Potřebujete rychle ověřit konkrétní změnu, modul, API nebo rizikové místo. Cílené security review může být efektivnější než plný test celého systému. Rizikové scénáře, doporučení oprav a rozhodnutí, zda je potřeba hlubší test.
Aplikace nebo systém jde do produkce, k zákazníkovi nebo do auditu. Penetrační test ověří zneužitelnost v dohodnutém rozsahu a dá vývojářům konkrétní práci. Report nálezů s dopadem, důkazem, prioritou a doporučením nápravy.
Opravili jste významné nálezy a potřebujete potvrdit, že riziko zmizelo. Ověření oprav je menší navazující krok než opakování celého testu. Potvrzení stavu oprav a případné nové nálezy vzniklé změnou.

Jaký problém řešíme

01

Potřebujete ověřit skutečnou zneužitelnost

Ne každá slabina má stejný dopad. Penetrační test ukáže, které chyby jsou skutečně využitelné útokem.

02

Chybí nezávislý pohled na odolnost systému

Interní tým zná prostředí příliš dobře. Externí test pomůže odhalit slepá místa a slabé kombinace nastavení.

03

Potřebujete podklad pro opravy a ověření změn

Cílem není jen najít chybu, ale dodat nález tak, aby šel efektivně opravit a následně ověřit.

Co potřebuji pro nacenění a bezpečné provedení

Čím přesnější je rozsah, tím lépe jde odhadnout cenu, termín a pravidla testu.

Kdy penetrační test není správný vstup

Někdy je lepší začít menším review, architektonickou konzultací nebo vyjasněním rozsahu.

Rozsah není vymezený

Pokud není jasné, co se testuje a co je mimo rozsah, nejdřív je potřeba rozsah připravit.

Cílem je jen automatický sken

Automatizace může být součástí práce, ale hlavní hodnota je v ověření dopadu a prioritě oprav.

Nemáte kapacitu na opravy

Test bez navazující kapacity má menší hodnotu. V takovém případě může být vhodnější menší review s prioritami.

Ukázka struktury výstupu penetračního testu

Výstup z testu je zaměřený na zneužitelné scénáře, důkaz a prioritu oprav.

Důkaz

Popis zneužitelného scénáře

Každý významný nález je popsaný z pohledu dopadu, podmínek zneužití a důkazního materiálu.

Priorita

Rozdělení nálezů podle reálného rizika

Oddělení kritických a skutečně využitelných chyb od věcí, které mají menší dopad nebo lze řešit jinak.

Ověření oprav

Jasné napojení na opravu a ověření

Doporučení k nápravě a možnost navazujícího ověření po opravách.

Co dostanete

01

Report zneužitelných nálezů

Slabiny popsané z pohledu dopadu, scénáře zneužití a priority řešení.

02

Doporučení k nápravě

Praktický návrh, co upravit v aplikaci, konfiguraci nebo architektuře.

03

Ověření oprav

Na penetrační test může navázat ověření, že byly kritické nálezy odstraněny správně.

Kdy to řešit hned

Penetrační test dává největší smysl ve chvíli, kdy potřebujete ověřit konkrétní rozsah, zneužitelnost a dopad.

Blíží se vydání aplikace nebo API

Potřebujete před vydáním vědět, jestli existují blokující zneužitelné chyby.

Máte veřejně dostupný systém

Chcete ověřit, jaké slabiny jsou skutečně dosažitelné a s jakým dopadem.

Opravili jste předchozí nálezy

Dává smysl ověřit, že opravy odstranily riziko a nezavedly nové slabiny.

Typický první krok

Detailní posouzení není bezplatná konzultace. Před cenou a termínem je potřeba určit testovaný rozsah.

Vymezení rozsahu testu

Nacenění připravuji až po vyjasnění rozsahu aplikace, API, rolí, prostředí, testovacích účtů a dostupné dokumentace.

Orientační cena

U testování je klíčový rozsah. Rozdíl mezi malým security review a plnohodnotným penetračním testem je hlavně v hloubce, počtu rolí, API, prostředích a požadovaném ověření oprav.

Cílené security review

Typicky od 75 000 Kč pro menší rozsah, konkrétní funkci, změnu nebo předběžné ověření rizik.

Penetrační test

Typicky od 120 000 Kč pro jasně vymezený web, aplikaci nebo API s reportem zneužitelných nálezů.

Ověření oprav

Navazující ověření kritických nebo významných oprav lze nacenit samostatně podle počtu nálezů a rozsahu změn.

Pro hrubý odhad potřebuji typ systému, rozsah, počet rolí, API, prostředí a očekávaný termín.

Jak probíhá spolupráce

01

Rozsah a pravidla testu

Vymezíme cílový rozsah, omezení, časové okno a způsob práce s citlivými zjištěními.

02

Technické testování

Ověřuji zneužitelnost slabin v dohodnutém rozsahu a eviduji dopad i důkazní materiál.

03

Report a prioritizace

Dostanete report s dopadem, scénářem zneužití a doporučením k opravě.

04

Ověření oprav nebo konzultace nad nápravou

Po opravách mohu potvrdit jejich účinnost nebo projít nálezy s technickým týmem.

Pro koho je služba vhodná

Navazující situace a služby

Časté otázky

Děláte test spíš jako sken nebo manuální ověření?

Zaměřuji se na ověření zneužitelnosti. Automatizace může být součástí práce, ale cílem je použitelné vyhodnocení, ne jen export nástrojů.

Může penetrační test ohrozit provoz?

Rozsah a pravidla testu nastavujeme předem. Cílem je minimalizovat riziko pro provoz a pracovat kontrolovaně.

Umíte navázat ověřením oprav?

Ano. Ověření oprav je vhodný navazující krok po odstranění kritických nebo významných nálezů.

Potřebujete ověřit zneužitelnost slabin?

Pošlete rozsah, typ systému a očekávaný termín. Navrhnu vhodný model testu i výstupu.