Elementrica
03Realizacje04Referencje05Firma06Aktualności07Kontakt
PLENDE

TESTY PENETRACYJNE APLIKACJI WEB

Testy penetracyjne aplikacji web: znajdź luki, zanim zrobi to ktoś inny

Manualne testy aplikacji web według OWASP WSTG i ASVS, prowadzone przez pentesterów z OSCP i OSWA. Szukamy błędów logiki biznesowej i kontroli dostępu, których nie wykryje skaner, i potwierdzamy je działającym dowodem.

Testy według OWASP WSTG i ASVS 5.0.0Logika biznesowa i kontrola dostępu, nie tylko skanDowód i kroki odtworzenia każdej lukiRetest po naprawie w cenie

DLACZEGO TO WAŻNE

Najgroźniejsze luki w aplikacji web to te, których nie widać w kodzie

Aplikacja web jest wystawiona na świat 24 godziny na dobę, więc to ją atakujący sprawdza najpierw. Najpoważniejsze podatności nie wynikają z pojedynczego błędu w kodzie, tylko z logiki: kto może zobaczyć czyje dane, kto może zatwierdzić czyją transakcję, co się stanie, gdy zmienisz jeden parametr w żądaniu.

Przykład z naszej realizacji: konto z dostępem do jednego modułu przez łańcuch błędów - framework po zakończeniu wsparcia, sesja trzymana po stronie przeglądarki i autoryzacja sprawdzająca tylko fakt zalogowania - pozwoliło przejąć uprawnienia administratora całej platformy. Żaden pojedynczy alert skanera nie pokazałby tego łańcucha.

CO SPRAWDZAMY

Pełen zakres OWASP, nie tylko Top 10

01
Kontrola dostępu
IDOR, eskalacja uprawnień, dostęp do cudzych danych i funkcji. Najczęstsze źródło realnych wycieków.
02
Logika biznesowa
Obejście limitów, manipulacja ceną, kolejnością kroków i stanem transakcji.
03
Uwierzytelnianie i sesje
Słabe logowanie, przejęcie sesji, błędy resetu hasła i mechanizmów MFA.
04
Iniekcje
SQL, NoSQL, command i template injection, XSS i SSRF z potwierdzonym dowodem.
05
Konfiguracja i nagłówki
Błędna konfiguracja serwera, CORS, brak zabezpieczeń transportu i nagłówków.
06
Obsługa plików i danych
Niebezpieczny upload, ujawnienie danych wrażliwych, podatne biblioteki frontendu.

Zakres dopasowujemy do stacku i ról w aplikacji. Testujemy z perspektywy różnych poziomów uprawnień.

NASZE PODEJŚCIE

Testujemy manualnie, z perspektywy realnego użytkownika i napastnika

Skaner sprawdza pojedyncze żądania. My logujemy się jako różni użytkownicy i sprawdzamy, czy granice między nimi naprawdę działają. To tu kryją się luki, które kosztują najwięcej.

Pracujemy w modelu grey-box: z dostępem do kont testowych i wiedzą o aplikacji testujemy szerzej i głębiej niż atakujący z zewnątrz, w tym samym czasie. Każdą podatność potwierdzamy dowodem, nie samym ostrzeżeniem narzędzia.

ZGODNOŚĆ

Test, który zalicza audyt i wymóg klienta

Testy aplikacji web są wprost wymagane przez regulacje i coraz częściej przez kontrakty z klientami korporacyjnymi.

DORA / NIS2
Testowanie zabezpieczeń aplikacji jako element zarządzania ryzykiem ICT.
ISO 27001
Dowód skuteczności zabezpieczeń (A.8) do utrzymania certyfikacji.
PCI DSS
Wymagany test aplikacji przetwarzających dane kart płatniczych.

STANDARDY I CERTYFIKATY

Pracujemy według uznanych metodyk, nie według intuicji

Każdy projekt prowadzą certyfikowani pentesterzy, a testy opieramy na publicznych standardach, więc wynik jest powtarzalny, audytowalny i porównywalny między dostawcami.

Certyfikaty zespołu
OSCPOSCPOffSec
OSEPOSEPOffSec
OSWEOSWEOffSec
OSEDOSEDOffSec
OSWAOSWAOffSec
OSWPOSWPOffSec
BSCPBSCPPortSwigger
CPTSCPTSHack The Box
CBBHCBBHHack The Box
CWEECWEEHack The Box
CRTOCRTOZero-Point Security
CREST CRTCREST CRTCREST
CREST CPSACREST CPSACREST
ISO 27001 LAISO 27001 LAISO/IEC
Azure Security EngineerAzure Security EngineerMicrosoft
Security Operations AnalystSecurity Operations AnalystMicrosoft
Security AdministratorSecurity AdministratorMicrosoft
OSCPOSCPOffSec
OSEPOSEPOffSec
OSWEOSWEOffSec
OSEDOSEDOffSec
OSWAOSWAOffSec
OSWPOSWPOffSec
BSCPBSCPPortSwigger
CPTSCPTSHack The Box
CBBHCBBHHack The Box
CWEECWEEHack The Box
CRTOCRTOZero-Point Security
CREST CRTCREST CRTCREST
CREST CPSACREST CPSACREST
ISO 27001 LAISO 27001 LAISO/IEC
Azure Security EngineerAzure Security EngineerMicrosoft
Security Operations AnalystSecurity Operations AnalystMicrosoft
Security AdministratorSecurity AdministratorMicrosoft
Metodyki
OWASP WSTGPTESNIST SP 800-115
Standardy weryfikacji
OWASP ASVS 5.0.0
Listy Top 10
OWASP Top 10:2025OWASP API Security Top 10

Pełną listę certyfikatów i standardów udostępniamy na życzenie, razem z przykładowym zakresem testu.

JAK TO ROBIMY

Powtarzalny proces według PTES

01
Uzgodnienie zakresu
Ustalamy cel, zakres i zasady testu. Wiesz, co i kiedy testujemy, zanim zaczniemy.
02
Rozpoznanie
Mapujemy powierzchnię ataku: aktywa, technologie i punkty wejścia.
03
Modelowanie zagrożeń
Ustalamy, co realnie chce osiągnąć atakujący, i priorytetyzujemy najgroźniejsze scenariusze.
04
Analiza podatności
Szukamy słabych punktów manualnie i weryfikujemy każdy, żeby odsiać fałszywe alarmy.
05
Eksploitacja
Potwierdzamy podatności działającym dowodem, nie teorią z listy alertów.
06
Post-eksploitacja
Sprawdzamy realny zasięg: eskalacja uprawnień, ruch boczny i dostęp do danych.
07
Raport i retest
Dostajesz raport z priorytetami naprawczymi, a po wdrożeniu potwierdzamy usunięcie luk.

DOWODY

Twarde liczby z naszych projektów

Każdy test prowadzą certyfikowani pentesterzy, a wynik dokumentujemy krokami odtworzenia, dowodami i zweryfikowaną ścieżką naprawy. Dowód, nie obietnica.

500+
zrealizowanych testów i audytów bezpieczeństwa
5.0
średnia ocena z 10 zweryfikowanych opinii w Clutch
20+
certyfikatów ofensywnych w zespole
01
Certyfikowany zespół
20+ certyfikatów ofensywnych w zespole (OSCP, OSEP, OSWE, CREST). Testy prowadzą nasi ludzie, nie anonimowi podwykonawcy.
02
Testy manualne
Pracujemy manualnie według PTES i OWASP. Łączymy pozornie drobne błędy w realną, potwierdzoną ścieżkę ataku.
03
Dowód, nie obietnica
Każda podatność z krokami odtworzenia i działającym dowodem. Raport, który obroni się przed audytorem.
04
Retest w cenie
Po wdrożeniu poprawek potwierdzamy usunięcie luk na piśmie. Nie znikamy po wysłaniu PDF-a.

WIEDZA

Test penetracyjny aplikacji web w praktyce

Co realnie sprawdzamy w teście aplikacji web

Test aplikacji web prowadzimy według OWASP WSTG i weryfikujemy nie tylko klasyczne podatności z listy OWASP Top 10, jak wstrzyknięcia, XSS czy błędy konfiguracji, ale przede wszystkim logikę biznesową aplikacji. To w niej kryją się błędy, których żaden skaner nie rozumie, bo wymagają znajomości tego, co aplikacja ma robić.

Sprawdzamy uwierzytelnianie i zarządzanie sesją, kontrolę dostępu między rolami i kontami, obsługę plików, integracje z API oraz miejsca, w których dane użytkownika trafiają do bazy, przeglądarki innego użytkownika lub systemu zewnętrznego. Każdą podatność potwierdzamy działającym dowodem, a nie samym alertem narzędzia.

Dlaczego błędy kontroli dostępu są najczęstsze i najgroźniejsze

Najpoważniejsze incydenty w aplikacjach web rzadko wynikają z egzotycznej luki. Zwykle to broken access control: użytkownik widzi dane innego klienta, podmienia identyfikator w adresie i pobiera cudzą fakturę albo zwykłe konto wykonuje akcję zarezerwowaną dla administratora. OWASP od lat stawia tę kategorię na szczycie listy ryzyk.

Tych błędów nie wykryje skaner, bo do ich potwierdzenia trzeba zrozumieć role i uprawnienia w aplikacji oraz świadomie spróbować je obejść. Dlatego testujemy z perspektywy różnych kont i ról, sprawdzając każdą granicę uprawnień osobno.

Black-box czy z dostępem: jak dobrać model

Model testu dobieramy do celu. W podejściu black-box odwzorowujemy anonimowego napastnika z internetu, co dobrze pokazuje ekspozycję, ale pomija to, co dzieje się po zalogowaniu. W podejściu z kontami testowymi, czyli grey-box, docieramy do logiki dostępnej dla użytkowników i wykrywamy błędy autoryzacji, których z zewnątrz nie widać.

Dla aplikacji z wieloma rolami i wrażliwymi danymi zwykle rekomendujemy grey-box, bo daje najlepszy stosunek pokrycia do czasu. Konta testowe uzgadniamy przed startem testu, żeby test odzwierciedlał realne ścieżki Twoich użytkowników.

Co dostajesz w raporcie i jak go wykorzystać

Raport zawiera każdą podatność z dowodem, oceną CVSS i krokami odtworzenia, żeby Twój zespół potwierdził problem u siebie i od razu wziął się za naprawę. Do tego dokładamy podsumowanie dla osób decyzyjnych, które tłumaczy realny wpływ na biznes bez technicznego żargonu.

Po wdrożeniu poprawek wykonujemy retest i potwierdzamy na piśmie, że luka została zamknięta. Dzięki temu raport nie jest tylko dokumentem do segregatora, ale konkretną listą działań z potwierdzonym efektem, którą możesz pokazać klientowi lub audytorowi.

Kiedy testować aplikację web

Najlepszy moment to chwila przed udostępnieniem aplikacji użytkownikom oraz po każdej istotnej zmianie: nowej funkcji, integracji, zmianie sposobu logowania czy migracji. Każda taka zmiana tworzy nową powierzchnię ataku, której wcześniejszy test nie obejmował.

Niezależnie od zmian rekomendujemy cykl co najmniej roczny, a dla aplikacji przetwarzających dane osobowe lub płatności częstszy. Regularny test to także wprost wymóg części regulacji oraz częsty element due diligence przy umowach z większymi klientami.

FAQ

Pytania, które słyszymy najczęściej

Testujecie na produkcji czy na środowisku testowym?

Preferujemy środowisko testowe odzwierciedlające produkcję. Jeśli testujemy na produkcji, działania potencjalnie destrukcyjne uzgadniamy i prowadzimy w oknach serwisowych.

Czy potrzebujecie kont i dokumentacji?

W modelu grey-box prosimy o konta dla każdej roli i podstawową dokumentację. Dzięki temu w tym samym czasie sprawdzimy znacznie więcej niż atakujący po omacku.

Czym to różni się od skanu DAST?

Skan DAST znajdzie część typowych podatności technicznych. Błędy logiki biznesowej i kontroli dostępu, czyli najczęstsze źródło realnych wycieków, wykrywa dopiero człowiek.

Czy retest jest w cenie?

Tak. Po wdrożeniu poprawek sprawdzamy ponownie wskazane luki i potwierdzamy na piśmie ich usunięcie.

POWIĄZANE

Powiązane artykuły

REALIZACJE

Realizacje w tym obszarze

REFERENCJE

“Projekt zrealizowano profesjonalnie i terminowo, z dobrym zrozumieniem zarówno technologii, jak i biznesu. Zrobiła na nas wrażenie ich ekspertyza w cyberbezpieczeństwie i partnerskie podejście.”

PIERWSZY KROK

Zacznij od bezpłatnej konsultacji

Opisz, co chcesz sprawdzić. W ciągu 24 h dostaniesz propozycję zakresu i kolejnych kroków. Rozmawiasz z konsultantem, który rozumie techniczną stronę.

Skontaktuj się z nami
Bez zobowiązań · odpowiadamy w 24 h · Twoje dane pozostają poufne
Metodyka
PTES · OWASP
Zespół
20+ certyfikatów
Ocena
5.0 w Clutch
Co dostajesz
Propozycja zakresu dopasowana do Twojego ryzyka
Raport z dowodami i krokami odtworzenia
Priorytety naprawcze według realnego wpływu
Retest po wdrożeniu poprawek
Asia, ElementricaKacper, ElementricaGrzesiek, Elementrica
Konsultację prowadzi osoba z naszego zespołu, zwykle w ciągu 24 h. Bez botów i call center.