Ugrás a fő tartalomhoz

Webalkalmazás Sérülékenység Tesztelés

Webalkalmazás Sérülékenység Tesztelés

Időtartam: 1–2 hét
💰 Ár: 599 000 Ft-tól (nettó)

Az ár és az időtartam a célrendszer méretétől, összetettségétől és egyedi igényektől függően módosulhat.

🎯 Célja

Ez a szolgáltatás célzottan azt vizsgálja, hogy az Ön webalkalmazása milyen sérülékenységeket tartalmaz, amelyeket támadók kihasználhatnak az adatszivárgás, jogosulatlan hozzáférés vagy rendszerkompromittálás céljából.
A tesztelés során modern, OWASP Top 10 fókuszú módszertant alkalmazunk, mind automatizált, mind manuális vizsgálattal.

🔍 Mit vizsgálunk?

✅ OWASP Top 10 alapú sebezhetőségek

  • SQL Injection (A01:2021 – Broken Access Control / A03:2021 – Injection)
  • Cross-Site Scripting (XSS)
  • CSRF (Cross-Site Request Forgery)
  • Insecure Deserialization
  • Server-Side Request Forgery (SSRF)
  • Path Traversal / File Inclusion
  • IDOR (Insecure Direct Object Reference)
  • Authentication & Session Management hibák
  • Security Misconfigurations

✅ API Endpoint ellenőrzés

  • REST vagy GraphQL API-k vizsgálata
  • Jogosultságkezelési problémák (pl. horizontal/vertical privilege escalation)
  • Input validációs hibák

✅ Üzleti logika hibák

  • Nem technikai, hanem logikai szintű visszaélések (pl. ármanipuláció, limit megkerülés, ismételt fizetés)

🔬 Módszertan

A tesztelés során a következő lépéseket végezzük el:

  1. Felderítés (Reconnaissance)

    • Nyilvánosan elérhető információk, subdomain-ek, endpointok keresése

  2. Automatizált sebezhetőségvizsgálat

    • Ipari eszközökkel (pl. Burp Suite Pro, OWASP ZAP, Nuclei)

  3. Manuális elemzés és exploitáció

    • A fals pozitív eredmények kizárása, manuális bizonyítás
    • Etikus exploit demonstráció (csak olvasás/jogosultságszint-váltás, kártékony kód nem kerül használatra)

  4. Jelentéskészítés

    • Súlyosság szerint kategorizált hibák
    • Mindenhez ajánlott javítási javaslat
    • Technikai részletek, reprodukálási lépések, igény esetén screenshotok és PoC is

📄 Mit tartalmaz a jelentés?

  • Összefoglaló az üzleti kockázatokról
  • Minden hiba részletes technikai leírással
  • OWASP top 10 mapping
  • Javítási javaslatok a fejlesztőknek
  • Vezetői összefoglaló (executive summary)

👥 Kinek ajánljuk?

  • Olyan cégeknek, akik saját fejlesztésű vagy egyedi webes rendszert üzemeltetnek
  • Pályázatokhoz, befektetői vagy audit előtti helyzetekhez
  • Akik ISO 27001, GDPR, vagy más szabványoknak kívánnak megfelelni
  • Olyan IT-csapatoknak, akik validálni szeretnék fejlesztéseik biztonságát

📦 Mi NEM része a csomagnak?

  • Forráskód audit (ez külön szolgáltatás)
  • Infrastruktúra- vagy hálózati szintű vizsgálat
  • Mobilalkalmazás vagy API külön tesztelése (ezeket külön lehet kérni)

📞 Megrendelés

Ha szeretnél egy átlátható, szakmailag megalapozott képet kapni a webalkalmazásod biztonsági állapotáról, lépj velünk kapcsolatba:

👉 Kapcsolatfelvétel