Penetračné testy

• Webové aplikácie – Penetračné testy simulujú reálne útoky na identifikáciu zraniteľností ako chyby autentifikácie, injekčné útoky, nesprávne konfigurácie a ďalšie bezpečnostné medzery.
• Mobilné aplikácie – Vykonávame penetračné testy iOS a Android aplikácií so zameraním na nezabezpečené ukladanie dát, slabé autentifikačné mechanizmy, nesprávne API volania a riziko reverzného inžinierstva.
• Bezpečnosť API – Penetračné testy API odhaľujú slabiny v autentifikácii, autorizácii, ochrane dát a odolnosti voči injekčným útokom.
• Thick Client aplikácie – Testovanie desktopových/klientskych aplikácií, ktoré komunikujú so servermi, zamerané na ukladanie, sieťovú komunikáciu a eskaláciu oprávnení.
• Bezpečnostný audit zdrojového kódu – Detailná kontrola zdrojového kódu aplikácií s cieľom odhaliť bezpečnostné chyby a slabé miesta v programovaní.

• Amazon Web Services (AWS) – Hodnotenie konfigurácie, IAM politík, S3 bucketov, bezpečnostných skupín a celkovej bezpečnostnej úrovne v cloude.
• Microsoft Azure – Hodnotenie bezpečnosti identity, ukladania dát, virtuálnych strojov a sieťových komponentov v súlade s best practices.
• Google Cloud Platform (GCP) – Analýza IAM rolí, nastavení úložísk, vystavených API a sieťovej bezpečnosti na zlepšenie odolnosti.

• Externá infraštruktúra – Penetračné testovanie verejne dostupných aktív ako weby, servery a zariadenia na odhalenie zraniteľností.
• Interná infraštruktúra – Simulácia útokov zvnútra organizácie na detekciu laterálneho pohybu a zlyhaní v internej ochrane.
• Active Directory – Hodnotenie konfigurácií a slabín v AD, ktoré umožňujú získanie doménovej nadvlády.
• WiFi siete – Penetračné testovanie zabezpečenia WiFi vrátane šifrovania, rogue AP a možností neoprávneného prístupu.
• Kubernetes infraštruktúra – Penetračné testovanie bezpečnosti klastrov, RBAC, tajomstiev, runtime prostredí a sieťových nastavení.

• Testovanie zraniteľností AI modelov – Penetračné testovanie AI modelov ako manipulácia vstupov, úniky dát, nesprávna autentifikácia alebo rozhodovanie.
• Bezpečnosť integrácie AI modelov tretích strán – Penetračné testovanie API, prístupov a rizík spojených s integráciou externých modelov.
• Testovanie odolnosti modelov proti útokom – Skúmanie, ako sa model správa, keď sa ho niekto pokúša oklamať špeciálne upravenými vstupmi alebo získať z neho citlivé informácie.

• Bezpečnosť embedded systémov – Penetračné testovanie firmvéru, bootovacích mechanizmov, hardvérových rozhraní a útokov ako buffer overflow.
• Bezpečnosť firmvéru zariadení – Hľadanie backdoorov, slabých aktualizačných mechanizmov a reverzného inžinierstva.
• Bezpečnosť bezdrôtovej komunikácie – Testovanie Bluetooth, Zigbee, LoRa, RFID, NFC na slabé šifrovanie a odposluch.
• Penetračné testovanie hardvéru – Analýza fyzického zabezpečenia vrátane JTAG, SWD, dodávateľského reťazca a ochrany proti manipulácii.
• Hodnotenie rizík IoT ekosystému – Posúdenie bezpečnosti prepojených zariadení, cloud integrácií, API a dátových tokov.

OWASP (Open Web Application Security Project) je popredná nezisková organizácia zameraná na zlepšenie bezpečnosti softvéru. Pri realizácii penetračných testov vychádzame z ich rámca Top 10, ktorý slúži na identifikáciu najčastejších zraniteľností v aplikáciách – vrátane SQL injekcií, XSS, nesprávnej správy relácií a ďalších bežných rizík. OWASP metodiky nám umožňujú vykonávať efektívne a dôveryhodné penetračné testy zamerané na reálne hrozby.

WSTG (Web Security Testing Guide) je komplexná metodika testovania webových aplikácií vyvinutá OWASP, ktorá slúži ako základ pre profesionálne penetračné testy. Pokrýva celý cyklus bezpečnostného testovania vrátane autentifikácie, autorizácie, vstupov používateľa, obchodnej logiky, kryptografie a ďalších aspektov bezpečnosti. Vďaka WSTG sú penetračné testy systematické, dôkladné a zamerané na reálne riziká.

ASVS (Application Security Verification Standard) je štandard od OWASP, ktorý poskytuje jasné bezpečnostné požiadavky pre vývoj a testovanie aplikácií. Slúži aj ako referenčný rámec pre realizáciu penetračných testov, a to na troch úrovniach:

• Úroveň 1 – Základná bezpečnostná verifikácia vhodná pre všetky aplikácie, zameraná na bežné zraniteľnosti ako injekcie alebo nesprávne konfigurácie, ktoré sú často identifikované v rámci penetračných testov.
• Úroveň 2 – Štandardná bezpečnostná úroveň pre aplikácie spracúvajúce citlivé údaje, vyžadujúca silnú autentifikáciu, správu relácií a bezpečné programovanie – typické oblasti testovania v penetračných testoch.
• Úroveň 3 – Pokročilá bezpečnostná úroveň určená pre kritické aplikácie (napr. bankovníctvo, zdravotníctvo), zahŕňajúca kryptografiu a revíziu bezpečnostnej architektúry.