Skip to content
Incydent bezpieczeństwa? Zadzwoń: +48 732 059 711
Cydefen
pl en
Offensive security

Manualne pentesty, które znajdują to, co umyka skanerom

Każde znalezisko zweryfikowane, wyeksploatowane i opisane językiem biznesu. Prowadzone przez inżynierów z certyfikatami OSCP/OSWE — a nie raport z Nessusa z nową okładką.

🌐

Pentest aplikacji webowej

OWASP Top 10 i więcej — logika biznesowa, autoryzacja, kontrola dostępu, SSRF, injection.

Zobacz zakres
📱

Pentest aplikacji mobilnej

iOS i Android — OWASP MASVS, reverse engineering, przechwytywanie ruchu, hardening binariów.

Zobacz zakres
🔌

Pentest API

REST, GraphQL, SOAP — OWASP API Top 10, authn/authz, BOLA, mass assignment, rate limiting.

Zobacz zakres
🖧

Sieć i infrastruktura

Sieć zewnętrzna i wewnętrzna, Active Directory, segmentacja, patching, eskalacja uprawnień.

Zobacz zakres
☁️

Pentest chmury

AWS, Azure, GCP — IAM, błędy konfiguracji, ścieżki eskalacji, ekspozycja danych, CIS benchmarks.

Zobacz zakres
🎭

Inżynieria społeczna

Spear phishing, vishing, intruzja fizyczna — pełny test red-team warstwy ludzkiej.

Zobacz zakres
🔴

Red Team

Pełne ćwiczenie red team — TIBER-EU, CBEST, realistyczne scenariusze ATT. Certyfikaty OSEP/OSCE3.

Zaplanuj red team
🔍

Ocena podatności

Automatyczne skanowanie + manualna walidacja. Priorytetyzacja podatności bez pełnej eksploatacji.

Zobacz zakres
Co dostajesz

Wyniki, które obronią się przed zarządem i audytorem

Realne znaleziska, nie zrzut ze skanera

Każde znalezisko jest ręcznie zweryfikowane, wyeksploatowane w PoC i opisane z perspektywy wpływu na biznes — bez false positives.

CVSS + kontekst biznesowy

Skalujemy CVSS 3.1, ale mówimy też, które znalezisko uderza w przychód, a które może poczekać.

Raport dla dwóch odbiorców

Executive summary dla zarządu, techniczny walkthrough dla inżynierów — w jednym dokumencie.

Retest w cenie

Darmowy retest w ciągu 30 dni — weryfikujemy poprawki i aktualizujemy raport końcowy.

Dowód na NIS2 / DORA

Dokumentacja testów, która spełnia wymogi NIS2 Art. 21 i DORA w zakresie testów technicznych.

Transfer wiedzy

Warsztat po teście dla developerów i SOC — na żywo omawiamy każde znalezisko, żeby zespół nauczył się rozpoznawać wzorzec.

Jak pracujemy

Metodyka PTES / OWASP / OSSTMM

  1. 01

    Rozpoznanie

    Pasywne i aktywne recon, mapowanie aktywów, analiza powierzchni ataku — rozumiemy cel, zanim go dotkniemy.

  2. 02

    Eksploitacja

    Testy manualne zgodne z PTES/OWASP/OSSTMM. Żadnych raportów napisanych przez skaner — nasi inżynierowie eksploatują to, co istotne.

  3. 03

    Post-eksploitacja

    Eskalacja uprawnień, ruch boczny, ścieżki wycieku danych — pokazujemy, co zrobiłby prawdziwy atakujący.

  4. 04

    Raport i retest

    Raport executive + techniczny w 5 dni roboczych. Darmowy retest w ciągu 30 dni po naprawach.

FAQ

Najczęstsze pytania

Jakie certyfikaty mają wasi pentesterzy?
OSCP, OSWE, OSEP, OSCE, CRTO, CEH. Wszystkie testy wykonują certyfikowani praktycy — nie stażyści.
Ile trwa typowy pentest?
Aplikacja web: 5–10 dni. Mobile: 7–12 dni. Sieć: 10–15 dni. Chmura: 7–15 dni. Zależy od zakresu.
Testujecie produkcję czy staging?
Preferujemy staging — identyczny z produkcją. Jeśli dostępna jest tylko produkcja, ustalamy bezpieczne okno testowe.
Czy retest jest w cenie?
Tak. Jeden darmowy retest w ciągu 30 dni od dostarczenia raportu — potwierdzamy, że każde znalezisko zostało poprawnie naprawione.
Podpisujecie NDA?
Zawsze. NDA i Rules of Engagement są podpisywane przed rozpoczęciem prac.
Czy to jest dowód na NIS2 / DORA?
Tak. Format raportu jest akceptowany przez audytorów jako dowód testów technicznych w rozumieniu NIS2 Art. 21 i DORA.

Zaplanuj kolejny pentest

30-minutowa rozmowa, mapujemy powierzchnię ataku i proponujemy zakres, harmonogram i cenę.

Umów konsultację Zobacz inne usługi