Пентест веб приложений, сервисов, сайтов
Пентест веб приложений, сайтов.
Описание услуги
Что входит в работу
- Рекогносцировка и сбор информации
- Анализ архитектуры приложения и используемых технологий
- Поиск публичных точек входа
- Определение потенциальных поверхностей атаки
- Анализ конфигураций
- Проверка заголовков безопасности
- Валидация SSL/TLS
- Проверка настроек сервера и CMS
- Тестирование OWASP Top 10
- Инъекции (SQLi, XSS, Command Injection, Template Injection)
- Ошибки аутентификации и авторизации
- Неправильное управление сессиями
- Небезопасное хранение данных
- Уязвимости доступа (IDOR, path traversal, file upload)
- SSRF / CSRF
- Несанкционированное выполнение кода
- API-уязвимости (в т.ч. OWASP API Top 10)
- Тестирование бизнес-логики
- Байпас ограничений
- Мошеннические сценарии
- Логические ошибки в потоке действий
- Анализ безопасности API
- Проверка REST/GraphQL конечных точек
- Проверка rate-limit, авторизации и сквозной валидации
- Проверка устойчивости к автоматизированным атакам
- Брутфорс
- Enumeration
- Rate-limit bypass
Подготовка отчёта
Полный технический отчёт
Исправления и рекомендации
Отдельный executive summary для бизнеса
*Что не входит
(может быть добавлено как опция)
Исправление найденных уязвимостей
Реверс-инжиниринг и анализ бинарных файлов
Пентест сетевой инфраструктуры
Пентест мобильных приложений
DDoS-тестирование
Социнжиниринг
Нагрузочное тестирование
Доступ к данными пользователей/продакшену (работаю только в рамках разрешенных тестов)
*Этапы и сроки (примерный стандартный цикл)
Интервью и подготовка плана тестирования — 1 день
Получение доступа
Определение правил тестирования (scope)
*Активное тестирование — 3–7 дней
Поиск и эксплуатация уязвимостей
Тестирование API, авторизации, бизнес-логики
*Анализ и подготовка отчёта — 1–2 дня
Фиксация доказательств
Приоритизация уязвимостей
*Презентация результатов и консультация — 1 день
Обсуждение найденных проблем
Рекомендации и ответы на вопросы
Критерии качества
Тестирование согласно OWASP Web Security Testing Guide и OWASP Top 10
Полное покрытие согласованного scope
Повторяемость всех выявленных багов
Чёткие, подтверждённые доказательства уязвимостей (PoC)
Приоритизация по CVSS v3.1
Прозрачность: заказчик получает статус-обновления ежедневно/по запросу
Формат результата
Вы получите:
1. Технический отчёт (PDF / Markdown)
Содержит:
Описание всех уязвимостей
Степень критичности (CVSS)
Шаги воспроизведения
Доказательства (скриншоты/запросы)
Рекомендации по исправлению
2. Executive Summary (до 1 страницы)
Для менеджеров и владельцев бизнеса:
Общий уровень риска
Ключевые найденные проблемы
Приоритеты для исправления
3. Файл с PoC (если нужно)
Эксплойты (безопасные, не наносящие ущерба)
Примеры curl/Postman запросов
Наборы Burp Suite Pro .bps
Метрики успеха
Покрытие тестирования: 100% обследованных публичных и скрытых точек входа
Количество найденных уязвимостей: указано по уровням критичности
Снижение риска: заказчик получает actionable рекомендации
Соответствие стандартам: OWASP + CVSS
Повторяемость: каждая уязвимость имеет чёткие шаги воспроизведения
Прозрачность: фиксированная дорожная карта + соблюдение дедлайнов
- Рекогносцировка и сбор информации
- Анализ архитектуры приложения и используемых технологий
- Поиск публичных точек входа
- Определение потенциальных поверхностей атаки
- Анализ конфигураций
- Проверка заголовков безопасности
- Валидация SSL/TLS
- Проверка настроек сервера и CMS
- Тестирование OWASP Top 10
- Инъекции (SQLi, XSS, Command Injection, Template Injection)
- Ошибки аутентификации и авторизации
- Неправильное управление сессиями
- Небезопасное хранение данных
- Уязвимости доступа (IDOR, path traversal, file upload)
- SSRF / CSRF
- Несанкционированное выполнение кода
- API-уязвимости (в т.ч. OWASP API Top 10)
- Тестирование бизнес-логики
- Байпас ограничений
- Мошеннические сценарии
- Логические ошибки в потоке действий
- Анализ безопасности API
- Проверка REST/GraphQL конечных точек
- Проверка rate-limit, авторизации и сквозной валидации
- Проверка устойчивости к автоматизированным атакам
- Брутфорс
- Enumeration
- Rate-limit bypass
Подготовка отчёта
Полный технический отчёт
Исправления и рекомендации
Отдельный executive summary для бизнеса
*Что не входит
(может быть добавлено как опция)
Исправление найденных уязвимостей
Реверс-инжиниринг и анализ бинарных файлов
Пентест сетевой инфраструктуры
Пентест мобильных приложений
DDoS-тестирование
Социнжиниринг
Нагрузочное тестирование
Доступ к данными пользователей/продакшену (работаю только в рамках разрешенных тестов)
*Этапы и сроки (примерный стандартный цикл)
Интервью и подготовка плана тестирования — 1 день
Получение доступа
Определение правил тестирования (scope)
*Активное тестирование — 3–7 дней
Поиск и эксплуатация уязвимостей
Тестирование API, авторизации, бизнес-логики
*Анализ и подготовка отчёта — 1–2 дня
Фиксация доказательств
Приоритизация уязвимостей
*Презентация результатов и консультация — 1 день
Обсуждение найденных проблем
Рекомендации и ответы на вопросы
Критерии качества
Тестирование согласно OWASP Web Security Testing Guide и OWASP Top 10
Полное покрытие согласованного scope
Повторяемость всех выявленных багов
Чёткие, подтверждённые доказательства уязвимостей (PoC)
Приоритизация по CVSS v3.1
Прозрачность: заказчик получает статус-обновления ежедневно/по запросу
Формат результата
Вы получите:
1. Технический отчёт (PDF / Markdown)
Содержит:
Описание всех уязвимостей
Степень критичности (CVSS)
Шаги воспроизведения
Доказательства (скриншоты/запросы)
Рекомендации по исправлению
2. Executive Summary (до 1 страницы)
Для менеджеров и владельцев бизнеса:
Общий уровень риска
Ключевые найденные проблемы
Приоритеты для исправления
3. Файл с PoC (если нужно)
Эксплойты (безопасные, не наносящие ущерба)
Примеры curl/Postman запросов
Наборы Burp Suite Pro .bps
Метрики успеха
Покрытие тестирования: 100% обследованных публичных и скрытых точек входа
Количество найденных уязвимостей: указано по уровням критичности
Снижение риска: заказчик получает actionable рекомендации
Соответствие стандартам: OWASP + CVSS
Повторяемость: каждая уязвимость имеет чёткие шаги воспроизведения
Прозрачность: фиксированная дорожная карта + соблюдение дедлайнов
Смотрите также: услуги в категории Информационная безопасность · подкатегория Веб‑пентест (черный/серый бокс) · #пентест
Стоимость и пакеты
Базовая стоимость
2 000 ₽
Срок: 1 дн. Правок: 0
Теги
Отзывы (0)
Отзывов пока нет.
