PL EN
Darmowy raport

Manualne Testy Penetracyjne

Profesjonalne testy penetracyjne — wykonywane ręcznie, dopasowane do Twojej aplikacji

Manualne testy penetracyjne wykonywane przez certyfikowanych pentesterów. Symulacja realnego ataku dopasowana do specyfiki Twojej aplikacji — zakres i model testów ustalamy indywidualnie podczas kick-off meetingu. Pełen raport z dowodami i kategoryzacją CVSS.
Skontaktuj się — wycena w 48h
Pobierz metodologię testów
CERTYFIKOWANI PENTESTERZY
OWASP / OSSTMM / PTES
Z dowodami

Wycena indywidualna

Cena zależy od zakresu testów, liczby aplikacji, czasu pracy pentestera i głębokości testowania. Wycena w 48 godzin od formularza.

lub 399 zł netto/msc

— ciągły monitoring osób

Skontaktuj się — wycena w 48h
Pobierz metodologię testów

PROCES

Problem — dlaczego to ma znaczenie

Skanery automatyczne wykrywają znaczną część typowych podatności — błędy konfiguracji, znane CVE, oczywiste luki — i są wartościowym, codziennym narzędziem zarządzania bezpieczeństwem. Manualny pentest stanowi ich uzupełnienie tam, gdzie potrzebna jest głębsza analiza: ocena logiki biznesowej aplikacji, weryfikacja błędów autoryzacji widocznych dopiero po zalogowaniu, łańcuchy ataków łączące kilka podatności w jeden scenariusz. To dwie różne warstwy ochrony, nie konkurencyjne usługi.
Manualne testy penetracyjne są standardem branżowym dla aplikacji krytycznych, finansowych, medycznych, e-commerce i każdej, która przetwarza wrażliwe dane. Stanowią warunek wstępny certyfikacji ISO 27001, PCI DSS i SOC 2. Jeśli Twoja firma poważnie traktuje cyberbezpieczeństwo, w pewnym momencie pentest manualny stanie się koniecznością.

PROCES

Jak pracujemy

Każdy pentest rozpoczyna się od ustaleń zakresu (kick-off meeting), w trakcie którego wspólnie określamy: jakie systemy są w zakresie testów, w jakim modelu chcemy je zaadresować, jakie są godziny dozwolone do testowania oraz kanał awaryjnej komunikacji. Konkretną metodologię i narzędzia zastosowane w danym projekcie opisujemy w samym raporcie końcowym, z odniesieniem do uznanych standardów branżowych (m.in. OWASP, OSSTMM, PTES).

Modele dostępu do testowanego systemu (do uzgodnienia podczas kick-off)

Każdy projekt jest indywidualny — możemy testować z perspektywy zewnętrznego użytkownika, z perspektywy uwierzytelnionego konta, lub w wariancie z dostępem do dokumentacji i kodu. Wybór wpływa na zakres znalezisk i czas pracy. Konkretny model uzgadniamy po przeanalizowaniu Twoich celów i ograniczeń.

Typowy zakres testów aplikacji webowej

Kategorie podatności klasy OWASP Top 10

Injection, Broken Authentication, Sensitive Data Exposure i inne

Logika biznesowa aplikacji

Błędy autoryzacji między rolami, manipulacja parametrami, race conditions

API i integracje

REST/GraphQL, autoryzacja tokenów, walidacja danych wejściowych

Konfiguracja serwerów i infrastruktury wspierającej aplikację

Mechanizmy bezpieczeństwa

Szyfrowanie, zarządzanie sesjami, mechanizmy odzyskiwania hasła

rozwiązanie

Co otrzymujesz

Każdy pentest kończy się dwoma osobnymi raportami — jednym dla zarządu, drugim dla zespołu technicznego. To ten sam standard, który stosujemy we wszystkich naszych usługach, dopasowany do specyfiki testów manualnych.

Raport Executive Summary (zarząd, CTO)
Krótkie, biznesowe podsumowanie wyników testu. Liczba znalezionych podatności krytycznych, wysokich, średnich i niskich, top 3 ryzyka biznesowe z przeliczeniem na PLN, ogólna ocena dojrzałości bezpieczeństwa testowanego systemu.
Raport techniczny pentestera (security team, developerzy)
Pełen opis każdej znalezionej podatności: kontekst, kroki reprodukcji (z fragmentami payloadów, jeśli aplikowalne), wpływ techniczny i biznesowy, kierunek poprawki. Każde znalezisko sklasyfikowane wg CVSS 3.1 z uzasadnieniem. Format zgodny ze standardami branżowymi — gotowy do przekazania zespołowi developerskiemu.
Demonstracja krytycznych znalezisk
Dla podatności krytycznych w raporcie znajdziesz dowód koncepcji (PoC) — krótki opis, w jaki sposób atakujący wykorzystałby tę lukę. Format PoC ustalamy indywidualnie z klientem podczas kick-off — od krótkiego opisu po sanityzowany payload, w zależności od dojrzałości zespołu odbierającego raport.
Re-test po naprawie (w cenie)
Po wdrożeniu poprawek wykonujemy re-test krytycznych i wysokich znalezisk — czy zostały skutecznie naprawione, czy nie wprowadziły nowych podatności. Re-test jest standardową częścią każdego testu i jest wliczony w wycenę.
„Jako użytkownik z rolą Editor wykonując modyfikację URL z /api/posts/123 na /api/admin/users mogę uzyskać pełną listę użytkowników bazy. Krytyczność: Wysoka. Kierunek poprawki: weryfikacja roli na każdym endpoincie API.”

Jak to działa?

Proces w 5 krokach

01

Wycena (48 godzin)

Wypełniasz formularz, opisujesz aplikację, podajesz wybrany typ testów i preferowany termin. Otrzymujesz wycenę w 48 godzin roboczych z konkretnym czasem realizacji.

02

Kick-off meeting (godzinowe spotkanie)

Online z naszym lead pentesterem. Ustalamy dokładny zakres testów, godziny dozwolone do testowania (jeśli aplikacja jest wrażliwa na przerwy), kontakt awaryjny w razie incydentu, wymagania dotyczące kont testowych.

03

Testy (5–15 dni roboczych w zależności od zakresu)

Pentester pracuje na środowisku testowym (najlepiej staging — produkcja tylko za wyraźną zgodą i ze ścisłymi limitami). Codzienna komunikacja przez wybrany kanał (e-mail, Slack), natychmiastowe zgłaszanie znalezisk krytycznych.

04

Raport + omówienie wyników
Otrzymujesz pełen raport plus — w zależności od wybranego wariantu — pisemne omówienie wniosków lub wideospotkanie z osobą odpowiedzialną za projekt z naszej strony. Forma omówienia jest ustalana podczas kick-off meetingu, dopasowana do potrzeb klienta.

05

Re-test po naprawie (do 30 dni)
Po wdrożeniu rekomendacji zgłaszasz gotowość do re-testu. Pentester weryfikuje skuteczność napraw — krytyczne i wysokie podatności są re-testowane bezpłatnie. Otrzymujesz krótki raport zamykający z potwierdzeniem statusu.

01

Wycena (48 godzin)

Wypełniasz formularz, opisujesz aplikację, podajesz wybrany typ testów i preferowany termin. Otrzymujesz wycenę w 48 godzin roboczych z konkretnym czasem realizacji.

02

Kick-off meeting (godzinowe spotkanie)

Online z naszym lead pentesterem. Ustalamy dokładny zakres testów, godziny dozwolone do testowania (jeśli aplikacja jest wrażliwa na przerwy), kontakt awaryjny w razie incydentu, wymagania dotyczące kont testowych.

03

Testy (5–15 dni roboczych w zależności od zakresu)

Pentester pracuje na środowisku testowym (najlepiej staging — produkcja tylko za wyraźną zgodą i ze ścisłymi limitami). Codzienna komunikacja przez wybrany kanał (e-mail, Slack), natychmiastowe zgłaszanie znalezisk krytycznych.

04

Raport + omówienie wyników
Otrzymujesz pełen raport plus — w zależności od wybranego wariantu — pisemne omówienie wniosków lub wideospotkanie z osobą odpowiedzialną za projekt z naszej strony. Forma omówienia jest ustalana podczas kick-off meetingu, dopasowana do potrzeb klienta.

05

Re-test po naprawie (do 30 dni)
Po wdrożeniu rekomendacji zgłaszasz gotowość do re-testu. Pentester weryfikuje skuteczność napraw — krytyczne i wysokie podatności są re-testowane bezpłatnie. Otrzymujesz krótki raport zamykający z potwierdzeniem statusu.
rozwiązanie

Wycena indywidualna — od czego zależy?

Manualne testy penetracyjne wycenia się czasem pracy pentestera. Główne czynniki wpływające na wycenę:

Typ aplikacji
Webowa, mobilna, API, sieciowa, kombinacja
Złożoność funkcjonalna
Liczba modułów, ról, rodzajów uprawnień, integracji
Uzgodniony model dostępu i głębokość testów
Wymagania audytu certyfikacyjnego (jeśli dotyczy)
Niektóre standardy wymagają rozszerzonej dokumentacji
Wymóg dostępności pentestera w godzinach pozaroboczych (np. dla aplikacji 24/7)

Konkretną wycenę wraz z proponowanym harmonogramem otrzymasz po wypełnieniu formularza zapytania. W odpowiedzi proponujemy też kick-off meeting, na którym wspólnie doprecyzowujemy zakres przed rozpoczęciem prac.

Manualne testy penetracyjne realizowane są przez naszego CISO oraz zaufanego zewnętrznego dostawcę (certyfikowany pentester z OSCP/OSCE). Każdy test jest osobiście nadzorowany przez naszego CISO; klient zawsze otrzymuje jeden, ujednolicony raport sygnowany przez Ragnar Shield.

Dla kogo jest ta usługa

Manualne testy penetracyjne są niezbędne dla aplikacji krytycznych biznesowo, finansowych, medycznych, e-commerce powyżej pewnej skali oraz każdej aplikacji przetwarzającej dane wrażliwe lub osobowe. Standardowo wymagane przez audytorów ISO 27001, PCI DSS, SOC 2, a coraz częściej również przez dużych klientów korporacyjnych jako warunek podpisania umowy.

Polecane wykonanie pentestu raz w roku oraz po każdej istotnej zmianie aplikacji (nowy moduł, integracja z partnerem, migracja architektoniczna). Dla zaawansowanych zespołów bezpieczeństwa — również po wprowadzeniu istotnych zmian w infrastrukturze lub po incydencie bezpieczeństwa, jako weryfikacja, czy luka została skutecznie naprawiona.

Najczęściej zadawane
pytania (FAQ)

Czy testy mogą zaszkodzić mojej aplikacji?

Standardowo testy wykonujemy na środowisku staging lub testowym, które jest osobne od produkcji. Jeśli z jakiegoś powodu konieczny jest test na produkcji (rzadko), uzgadniamy ścisłe limity — godziny dozwolone, ograniczenia obciążenia, kontakt awaryjny po obu stronach. Pentest manualny jest znacznie ostrożniejszy niż skan automatyczny — pentester rozumie, gdzie kończy się weryfikacja, a zaczyna ryzyko zniszczenia danych.

Mamy procedurę postępowania: pentester natychmiast wycofuje się, dokumentuje sytuację bez ingerowania w dowody, kontaktuje się z naszym CISO i Tobą. Wspólnie decydujemy o dalszych krokach (zgłoszenie do CERT, do organu nadzorczego itp.). Pentest natychmiast jest zawieszany do wyjaśnienia.

Tak. Nasz CISO posiada certyfikaty CISSP-ISSMP, CISM, CISA oraz audytora ISO 27001 i ISO 42001. Współpracujący z nami pentester zewnętrzny posiada OSCP (Offensive Security Certified Professional) i wieloletnie doświadczenie w testowaniu aplikacji enterprise.

Tak. Raporty przygotowujemy zgodnie z wymogami i oczekiwaniami audytorów certyfikacyjnych. Format zawiera wszystkie elementy wymagane: zakres testu, metodologia, klasyfikacja CVSS, dowody, rekomendacje, status re-testów. Raport może być załącznikiem do dokumentacji audytowej.

Ragnar Shield diagnozuje i raportuje, ale nie świadczy usług wdrożeniowych — ta zasada dotyczy również pentestów. Dzięki temu raport jest bezstronny: nie mamy interesu w sztucznym zwiększaniu liczby znalezisk. Jeśli potrzebujesz partnera do naprawy znalezionych podatności, polecimy zaufany podmiot z naszej sieci.

Ograniczenia usługi (disclaimer)

Manualny pentest, choć znacznie głębszy niż skan automatyczny, nie gwarantuje wykrycia wszystkich podatności — z natury każda metoda testów ma swoje ograniczenia. Test obejmuje wyłącznie zakres uzgodniony przed jego rozpoczęciem; podatności poza zakresem nie są wykrywane. Każdy test wykonywany jest na podstawie pisemnej zgody właściciela infrastruktury — klient oświadcza, że posiada uprawnienia do zlecenia testów. Pełen zakres ograniczeń w Regulaminie.
oferta

Pakiety i powiązane usługi

Manualne testy penetracyjne najczęściej zamawiane są razem z:
Cyber Monitoring & Skanowanie

249,00 

Kompleksowa diagnoza: technologia
+ ludzie

Dowiedz się więcej
Audyt Zgodności Regulacyjnej

499,00 

Sprawdza, jakie obowiązki firmy wynikają z wykrytych wycieków

Dowiedz się więcej
Bezpieczeństwo Kodu Aplikacji

Analiza statyczna kodu uzupełnia testy działającej aplikacji

Dowiedz się więcej

Sprawdźmy razem Twoją aplikację

Wycena w 48 godzin. Re-test po naprawie wliczony.

Raport zgodny z wymogami audytów.
Skontaktuj się — wycena w 48h

Wycena Manualnych Testów Penetracyjnych — odpowiadamy w 48 godzin

Każdy pentest jest indywidualny — wycena zależy od typu testowanego systemu, zakresu i wybranej metodologii. Wypełnij formularz, a w ciągu 48 godzin otrzymasz konkretną ofertę z ceną i terminem realizacji. Sygnujemy NDA na życzenie przed jakąkolwiek wymianą szczegółów.
PL EN
Darmowy raport