Penetracni testovani webovych aplikaci

Hledáme to, co automaty nikdy nenajdou

Když na vaši webovou aplikaci pustíte automatický skener, vyplivne vám sto stránek k ničemu. Bude plakat nad chybějícími HTTP hlavičkami, ale nikdy nepochopí vaši byznys logiku. Naše webové penetrační testy jsou proto striktně manuální. Jdeme do hloubky. Aktivně hledáme to, co automat ze své podstaty nikdy najít nemůže: chyby typu SSRF, SQL Injekce, podvržení JWT tokenů nebo hluboké logické chyby v procesech nákupního košíku či autorizace uživatelů.

Tři úhly pohledu na vaši aplikaci

Nabízíme naprostou flexibilitu. Při Black Box testování aplikaci vidíme jen zvenku (jako běžný hacker bez hesla) a snažíme se prolomit přihlašovací formuláře. Při mnohem častějším Grey Box testu nám založíte běžný neoprávněný uživatelský přístup. My se pak systém snažíme oklamat tak, aby nám náš běžný uživatel dovolil číst data administrátora z jiné pobočky (tzv. Privilege Escalation). Pokud potřebujete maximální jistotu (například u bankovních aplikací), nabízíme White Box – testujeme aplikaci rovnou i se čtením vašeho zdrojového kódu a detailní analýzou celkové architektury.

Výstup pro programátory, ne pro právníky

Výstupem není arogantní dokument plný výčitek pro váš management. Je to tvrdě technický manuál pro vaše vývojáře. Ke každému nálezu s hodnocením CVSS v3.1 od nás dostanou kompletní důkaz (Proof of Concept). Obdrží HTTP request, který stačí zkopírovat, odpalit u nich na „localhostu“ a okamžitě uvidí, jak nám apka vydala data. A co víc, vždy dostanou konkrétní radu, jak vstup dat na backendu ověřit tak, aby tahle konkrétní díra už nikdy nešla otevřít.