TESTY PENETRACYJNE APLIKACJI WEB
Testy penetracyjne aplikacji web: znajdź luki, zanim zrobi to ktoś inny
Manualne testy aplikacji web według OWASP WSTG i ASVS, prowadzone przez pentesterów z OSCP i OSWA. Szukamy błędów logiki biznesowej i kontroli dostępu, których nie wykryje skaner, i potwierdzamy je działającym dowodem.
DLACZEGO TO WAŻNE
Najgroźniejsze luki w aplikacji web to te, których nie widać w kodzie
Aplikacja web jest wystawiona na świat 24 godziny na dobę, więc to ją atakujący sprawdza najpierw. Najpoważniejsze podatności nie wynikają z pojedynczego błędu w kodzie, tylko z logiki: kto może zobaczyć czyje dane, kto może zatwierdzić czyją transakcję, co się stanie, gdy zmienisz jeden parametr w żądaniu.
Przykład z naszej realizacji: konto z dostępem do jednego modułu przez łańcuch błędów - framework po zakończeniu wsparcia, sesja trzymana po stronie przeglądarki i autoryzacja sprawdzająca tylko fakt zalogowania - pozwoliło przejąć uprawnienia administratora całej platformy. Żaden pojedynczy alert skanera nie pokazałby tego łańcucha.
CO SPRAWDZAMY
Pełen zakres OWASP, nie tylko Top 10
Zakres dopasowujemy do stacku i ról w aplikacji. Testujemy z perspektywy różnych poziomów uprawnień.
NASZE PODEJŚCIE
Testujemy manualnie, z perspektywy realnego użytkownika i napastnika
Skaner sprawdza pojedyncze żądania. My logujemy się jako różni użytkownicy i sprawdzamy, czy granice między nimi naprawdę działają. To tu kryją się luki, które kosztują najwięcej.
Pracujemy w modelu grey-box: z dostępem do kont testowych i wiedzą o aplikacji testujemy szerzej i głębiej niż atakujący z zewnątrz, w tym samym czasie. Każdą podatność potwierdzamy dowodem, nie samym ostrzeżeniem narzędzia.
ZGODNOŚĆ
Test, który zalicza audyt i wymóg klienta
Testy aplikacji web są wprost wymagane przez regulacje i coraz częściej przez kontrakty z klientami korporacyjnymi.
STANDARDY I CERTYFIKATY
Pracujemy według uznanych metodyk, nie według intuicji
Każdy projekt prowadzą certyfikowani pentesterzy, a testy opieramy na publicznych standardach, więc wynik jest powtarzalny, audytowalny i porównywalny między dostawcami.
Pełną listę certyfikatów i standardów udostępniamy na życzenie, razem z przykładowym zakresem testu.
JAK TO ROBIMY
Powtarzalny proces według PTES
DOWODY
Twarde liczby z naszych projektów
Każdy test prowadzą certyfikowani pentesterzy, a wynik dokumentujemy krokami odtworzenia, dowodami i zweryfikowaną ścieżką naprawy. Dowód, nie obietnica.
WIEDZA
Test penetracyjny aplikacji web w praktyce
Co realnie sprawdzamy w teście aplikacji web
Test aplikacji web prowadzimy według OWASP WSTG i weryfikujemy nie tylko klasyczne podatności z listy OWASP Top 10, jak wstrzyknięcia, XSS czy błędy konfiguracji, ale przede wszystkim logikę biznesową aplikacji. To w niej kryją się błędy, których żaden skaner nie rozumie, bo wymagają znajomości tego, co aplikacja ma robić.
Sprawdzamy uwierzytelnianie i zarządzanie sesją, kontrolę dostępu między rolami i kontami, obsługę plików, integracje z API oraz miejsca, w których dane użytkownika trafiają do bazy, przeglądarki innego użytkownika lub systemu zewnętrznego. Każdą podatność potwierdzamy działającym dowodem, a nie samym alertem narzędzia.
Dlaczego błędy kontroli dostępu są najczęstsze i najgroźniejsze
Najpoważniejsze incydenty w aplikacjach web rzadko wynikają z egzotycznej luki. Zwykle to broken access control: użytkownik widzi dane innego klienta, podmienia identyfikator w adresie i pobiera cudzą fakturę albo zwykłe konto wykonuje akcję zarezerwowaną dla administratora. OWASP od lat stawia tę kategorię na szczycie listy ryzyk.
Tych błędów nie wykryje skaner, bo do ich potwierdzenia trzeba zrozumieć role i uprawnienia w aplikacji oraz świadomie spróbować je obejść. Dlatego testujemy z perspektywy różnych kont i ról, sprawdzając każdą granicę uprawnień osobno.
Black-box czy z dostępem: jak dobrać model
Model testu dobieramy do celu. W podejściu black-box odwzorowujemy anonimowego napastnika z internetu, co dobrze pokazuje ekspozycję, ale pomija to, co dzieje się po zalogowaniu. W podejściu z kontami testowymi, czyli grey-box, docieramy do logiki dostępnej dla użytkowników i wykrywamy błędy autoryzacji, których z zewnątrz nie widać.
Dla aplikacji z wieloma rolami i wrażliwymi danymi zwykle rekomendujemy grey-box, bo daje najlepszy stosunek pokrycia do czasu. Konta testowe uzgadniamy przed startem testu, żeby test odzwierciedlał realne ścieżki Twoich użytkowników.
Co dostajesz w raporcie i jak go wykorzystać
Raport zawiera każdą podatność z dowodem, oceną CVSS i krokami odtworzenia, żeby Twój zespół potwierdził problem u siebie i od razu wziął się za naprawę. Do tego dokładamy podsumowanie dla osób decyzyjnych, które tłumaczy realny wpływ na biznes bez technicznego żargonu.
Po wdrożeniu poprawek wykonujemy retest i potwierdzamy na piśmie, że luka została zamknięta. Dzięki temu raport nie jest tylko dokumentem do segregatora, ale konkretną listą działań z potwierdzonym efektem, którą możesz pokazać klientowi lub audytorowi.
Kiedy testować aplikację web
Najlepszy moment to chwila przed udostępnieniem aplikacji użytkownikom oraz po każdej istotnej zmianie: nowej funkcji, integracji, zmianie sposobu logowania czy migracji. Każda taka zmiana tworzy nową powierzchnię ataku, której wcześniejszy test nie obejmował.
Niezależnie od zmian rekomendujemy cykl co najmniej roczny, a dla aplikacji przetwarzających dane osobowe lub płatności częstszy. Regularny test to także wprost wymóg części regulacji oraz częsty element due diligence przy umowach z większymi klientami.
FAQ
Pytania, które słyszymy najczęściej
Testujecie na produkcji czy na środowisku testowym?
Czy potrzebujecie kont i dokumentacji?
Czym to różni się od skanu DAST?
Czy retest jest w cenie?
POWIĄZANE
Powiązane artykuły
- Ile kosztuje test penetracyjny? Z czego składa się cena i na co uważać
- Testy penetracyjne a ocena podatności: kompleksowy przewodnik pozwalający zrozumieć różnice
- Zakres testu penetracyjnego: jedna strona, która decyduje, czy test był wart pieniędzy
- Zakres testu penetracyjnego
- Dlaczego wyniki CVSS często nie odzwierciedlają rzeczywistych zagrożeń
REALIZACJE
Realizacje w tym obszarze
REFERENCJE
“Projekt zrealizowano profesjonalnie i terminowo, z dobrym zrozumieniem zarówno technologii, jak i biznesu. Zrobiła na nas wrażenie ich ekspertyza w cyberbezpieczeństwie i partnerskie podejście.”
















