Pentestul pentru aplicații web este un atac simulat și controlat asupra site-ului, portalului sau aplicației SaaS, executat de specialiști, pentru a identifica vulnerabilitățile pe care le-ar putea exploata un atacator real. Acoperim OWASP Top 10 (injection, broken authentication, XSS, CSRF, SSRF, IDOR, broken access control), business logic abuse, autentificare și autorizare, gestiunea sesiunilor, API endpoints, configurări TLS și headere de securitate. Livrabilul este un raport cu vulnerabilități prioritizate (CVSS), proof-of-concept și plan de remediere — plus re-testarea gratuită a critical-urilor.
Această pagină este o sub-pagină dedicată din serviciul nostru de test de penetrare. Pentru pentest pe rețea/infrastructură, vezi pentest infrastructură de rețea.
Ce testăm într-un pentest web
- OWASP Top 10 — injection (SQL, NoSQL, OS command), authentication, sensitive data exposure, XXE, access control, security misconfiguration, XSS, deserialization, vulnerable components, logging & monitoring
- Business logic — abuz de fluxuri (price tampering, race conditions, mass assignment, rate limit bypass)
- Autentificare și autorizare — MFA bypass, session fixation, token reuse, JWT vulnerabilities, IDOR (Insecure Direct Object References)
- Securitate API — REST/GraphQL: auth, rate limiting, broken object level authorization (BOLA), business logic abuse
- Securitate sesiuni & cookies — flags Secure/HttpOnly/SameSite, fixation, timeout
- Configurări TLS și headere — HSTS, CSP, X-Frame-Options, Referrer-Policy, certificat și suite TLS
- Upload de fișiere — extensii periculoase, MIME spoofing, path traversal
- Componente terțe — biblioteci JS cu CVE-uri cunoscute, plugin-uri, framework outdated
Metodologie
Folosim un mix de instrumente recunoscute (Burp Suite Pro, OWASP ZAP, Nuclei, sqlmap, ffuf) și analiză manuală. Cea mai mare valoare vine din analiza umană — instrumentele găsesc semnale; specialistul confirmă, combină și demonstrează impactul real.
- Scoping — definim aplicațiile, conturi de test, ferestrele de timp, ce este permis (de exemplu: fără DoS, fără fuzzing intens pe producție)
- Recunoaștere — mapare endpoint-uri, tehnologii, headere, autentificare
- Testare automată — Burp, ZAP, Nuclei pentru semnale rapide
- Testare manuală — confirmarea vulnerabilităților, exploatare controlată, business logic
- Raportare — vulnerabilitate cu CVSS, PoC reproductibil, recomandare de remediere
- Re-testare — gratuită pentru critical-uri după remediere
Când îți trebuie pentest web
- Înainte de lansare — orice aplicație care va manipula date personale, plăți, conturi de utilizator
- Anual — pentru aplicații existente cu date sensibile
- După schimbări majore — refactoring de auth, modul nou, migrare framework
- Pentru conformitate — ISO 27001, PCI DSS, GDPR Art. 32, NIS2
- Înainte de audit — ca să corectezi înainte să fie găsit de extern
Cât durează și cât costă
Pentest pentru o aplicație web mică (sub 30 de endpoint-uri, 2-3 roluri de utilizator) durează 5-7 zile lucrătoare + 3-5 zile pentru raportare. O aplicație complexă (SaaS multi-tenant, API extins, integrări multiple) poate ajunge la 15-20 zile. Pentru intervale orientative de preț, vezi ghidul de prețuri pentru audit de securitate.
Cere o ofertă de pentest web pentru aplicația ta — răspundem cu scope dimensionat și interval de preț în 24 de ore.
Întrebări frecvente
Testați și pe producție?
Da, cu precauții: definim împreună ce operațiuni sunt interzise (DoS, fuzzing intens, manipulare date reale). Pentru aplicații critice recomandăm un mediu de staging cu date de test reprezentative.
Black-box, grey-box sau white-box?
Recomandăm grey-box pentru majoritatea aplicațiilor web — primim acces de utilizator obișnuit și ne dați documentația minimă. Acoperire bună la cost rezonabil. White-box (cod sursă) e ideal pentru aplicații critice.
Includeți și pentest pentru API-urile aplicației?
Da, sub același contract. Mulți clienți au și API REST/GraphQL în spatele aplicației — le testăm împreună, fără cost separat (în limita scope-ului definit).