Znajdź błąd zanim znajdzie go atakujący
Manualny test aplikacji webowej przez inżynierów z OSCP/OSWE. Idziemy dalej niż OWASP Top 10 i testujemy logikę biznesową, której żaden skaner nie zrozumie.
Dla kogo?
- Firmy SaaS
- Fintech i bankowość
- E-commerce (B2C i B2B)
- Administracja publiczna
- Platformy healthcare
Rezultaty
Pełne pokrycie OWASP Top 10
Injection, broken access control, SSRF, XXE, insecure deserialization, crypto failures — każdy punkt testowany ręcznie.
Błędy logiki biznesowej
Skanery tego nie znajdują. My tak. Manipulacja ceną, race conditions, obchodzenie workflow — często najgroźniejsze znaleziska.
Testy uwierzytelniania i sesji
Obchodzenie 2FA, błędy w resetowaniu hasła, słabości JWT, session fixation, błędy konfiguracji OAuth.
Kontrola dostępu i IDOR
Pozioma i pionowa eskalacja uprawnień, insecure direct object references — kategoria znaleziska nr 1.
PoC dla każdego znaleziska
Każde znalezisko zawiera odtwarzalne Proof of Concept, żeby developerzy mogli szybko naprawić i zweryfikować.
Darmowy retest
Pełny retest w ciągu 30 dni od dostarczenia raportu. Raport końcowy odzwierciedla status napraw.
OWASP WSTG + manualna eksploitacja
- 01
Zakres
Zakres URL, role użytkowników, funkcje, dane dostępowe, endpointy poza zakresem — udokumentowane w Rules of Engagement.
- 02
Rozpoznanie
Pasywne recon, rozpoznawanie stacka, wykrywanie endpointów, fuzzing parametrów, uwierzytelniony crawl.
- 03
Testy manualne
Przypadki testowe OWASP WSTG, nadużycia logiki biznesowej, łańcuchy eksploitów — 60–80 godzin skoncentrowanej pracy.
- 04
Raport i retest
Raport executive + techniczny w 5 dni roboczych. Jeden darmowy retest w ciągu 30 dni.
Najczęstsze pytania
Testujecie na produkcji?
Potrzebujecie poświadczeń?
Ile to trwa?
Co dostajemy w deliverables?
Czy to dobre na dowód NIS2 / DORA?
Zaplanuj pentest aplikacji webowej
Podziel się zakresem, a w ciągu jednego dnia roboczego wrócimy z harmonogramem i ceną.