NeoBit/ Pen Testing

Ofanzivna sigurnost

Penetracijsko testiranje

Napredni penetracijski testovi pronalaze ranjivosti vaših sustava i aplikacija prije hakera - i omogućuju pravovremene zakrpe i izmjene, kako napadači ne bi srušili vaše poslovanje. Nakon testa dobivate jasnu sliku rizika i konkretne korake do veće sigurnosti.

Web aplikacije Mobilne aplikacije Infrastruktura Interna mreža API i servisi

Zatražite pen test Kako radimo

Penetration testing (pentest) za firme u BiH | NeoBit ofanzivni tim

Etički, kontrolirani napad

Kako radimo

Od dogovora do ponovne provjere

Strukturiran, transparentan proces po priznatim metodologijama (OWASP, PTES) - bez iznenađenja i bez rizika za vaše poslovanje.

01 · Opseg i dogovor

Definiramo mete, vrstu pristupa i pravila - pismeno odobrenje i jasne granice testa.

02 · Izviđanje i mapiranje

Prikupljamo informacije i mapiramo površinu napada - sve ulazne točke i slabosti.

03 · Eksploatacija

Kontrolirano i sigurno iskorištavamo ranjivosti da dokažemo stvarni utjecaj na poslovanje.

04 · Izvještaj i re-test

Dostavljamo izvještaj s prioritetima i zakrpama, te ponovno provjeravamo da je sve riješeno.

Što sve provjeravamo

Pokrivamo cijelu površinu napada

Od web aplikacija po OWASP metodologiji do infrastrukture, prava pristupa i clouda - ovo su područja koja ulaze u test, ovisno o dogovorenom opsegu.

Web aplikacije (OWASP Top 10)

Injekcije - SQL, NoSQL, command, LDAP
Slomljena kontrola pristupa i prava (IDOR)
Autentifikacija i upravljanje sesijama
Cross-Site Scripting (XSS) i CSRF
Sigurnosno krivo konfiguriranje
Kriptografski propusti i osjetljivi podaci
SSRF i ranjive komponente
Greške u poslovnoj logici

API testiranje

REST i GraphQL endpointi
Autorizacija (BOLA / objektna prava)
Prekomjerno izlaganje podataka
Mass assignment i validacija unosa
Rate limiting i zloupotreba resursa
Sigurnost tokena (JWT, OAuth)

Infrastruktura i mreža

Vanjski i interni perimetar
Otvoreni portovi i izloženi servisi
Nezakrpane ranjivosti (patch razina)
Segmentacija i lateralno kretanje
VPN, RDP i daljinski pristup
Zadane i slabe lozinke

Active Directory i prava pristupa

Eskalacija privilegija
Načelo najmanjih privilegija
Loši ACL-ovi i Kerberos napadi
Segregacija dužnosti
Pregled administratorskih računa i grupa

Cloud i konfiguracija

Microsoft 365, Azure i AWS postavke
IAM, uloge i prava pristupa
Javno izloženi storage (bucketi)
Sigurnosne grupe i firewall pravila
Hardening po CIS preporukama
Logging, nadzor i sigurnosne kopije

Mobilne aplikacije

Sigurna pohrana podataka na uređaju
Zaštita komunikacije (TLS, pinning)
Otpornost na reverse engineering
Sigurnost pozadinskog API-ja
Dozvole i curenje podataka

Vrste testiranja

Penetracijski test personaliziran za vašu industriju i poslovanje

Black box

Bez ikakvih informacija i pristupa - gledamo vaš sustav očima vanjskog napadača.

Grey box

S korisničkim računom i djelomičnim informacijama - simulacija napada iznutra ili kompromitiranog korisnika.

White box / Interno

Potpun uvid i pristup iz interne mreže - najtemeljitija provjera svih slojeva.

Izvještaji

Jasno za upravu, precizno za tim

Svaki test završava s dva izvještaja - jedan za donositelje odluka, drugi za one koji popravljaju.

Executive sažetak

Pregled rizika na jeziku poslovanja - razina rizika, mogući utjecaj i preporuke, bez tehničkog žargona. Idealno za upravu i donošenje odluka o ulaganju u sigurnost.

Detaljan tehnički izvještaj

Svaka ranjivost s dokazom (PoC), koracima za reprodukciju, ocjenom ozbiljnosti (CVSS) i konkretnom uputom za zakrpu - sve što vaš tim treba da brzo riješi problem.

Zatražite pen test

Recite nam što testiramo

Popunite osnovne podatke o opsegu - javljamo se s prijedlogom, rokom i ponudom. Jednostavno i bez obaveze.