Penetrační testy

Typy penetračních testů¶

Black-box Testing¶

Tester nemá žádné předchozí informace o systému — simuluje reálného externího útočníka.

Fáze: 1. Reconnaissance — OSINT, DNS enumeration, subdomain discovery, technology fingerprinting 2. Scanning — Port scanning, service detection, vulnerability scanning (Nessus, Nuclei) 3. Enumeration — User enumeration, directory brute-force, API endpoint discovery 4. Exploitation — Pokusy o zneužití nalezených zranitelností 5. Post-exploitation — Lateral movement, privilege escalation, data exfiltration simulation

Co odhalí: Exposed services, default credentials, information leakage v error messages, IDOR, broken authentication, misconfigured CORS, subdomain takeover.

White-box Testing¶

Tester má plný přístup ke zdrojovému kódu, architektuře, konfiguraci a dokumentaci.

Zahrnuje: - Security code review — Manuální review kódu zaměřený na OWASP Top 10, CWE Top 25 - Architecture review — Analýza data flows, trust boundaries, authentication/authorization mechanismů - Configuration review — Cloud infrastructure (Azure/AWS), Kubernetes, database, web server konfigurace - IaC review — Terraform, Helm charts, Docker files — security best practices

Co odhalí navíc: Logic flaws, race conditions, insecure cryptographic implementations, hardcoded secrets, overly permissive IAM policies, insecure deserialization.

Grey-box Testing¶

Kombinace — tester má partial informace (např. autentizovaný přístup, API dokumentaci). Nejefektivnější poměr cost/coverage pro většinu aplikací.

Metodologie¶

OWASP Testing Guide v4¶

Systematický framework pro testování webových aplikací:

• Information Gathering — Fingerprinting, configuration review, authentication testing
• Authorization Testing — RBAC bypass, privilege escalation, IDOR
• Session Management — Token analysis, session fixation, CSRF
• Input Validation — SQL injection, XSS, command injection, SSRF, XXE
• Business Logic — Workflow bypass, rate limiting, race conditions
• API Security — BOLA, broken function level authorization, mass assignment

PTES (Penetration Testing Execution Standard)¶

Pro infrastrukturní testy — network penetration testing, wireless, physical security assessment.

Vulnerability Assessment vs. Penetration Test¶

Aspekt	Vulnerability Assessment	Penetration Test
Cíl	Najít známé zranitelnosti	Exploitovat zranitelnosti
Přístup	Automatizovaný + manuální review	Převážně manuální
Hloubka	Široký, povrchový	Hluboký, cílený
Výstup	Seznam CVE s severity	PoC exploitů, business impact
Doba	1-3 dny	5-20 dní
Kdy	Quarterly, po deploymentu	Ročně, po velké změně

Doporučujeme obojí — vulnerability assessment jako kontinuální process, penetrační test jako hloubková analýza.

Reporting¶

Executive Summary¶

Pro management — business impact, risk level, top 3 doporučení. Jedna strana, žádný technický žargon.

Technical Report¶

Pro dev tým — každý finding obsahuje: - Popis — Co je zranitelnost, kde je - Severity — CVSS score + business impact - Proof of Concept — Reprodukovatelný postup (screenshot, request/response) - Doporučení — Jak opravit, best practices - Reference — CWE, OWASP, vendor documentation

Retest¶

Po implementaci oprav provedeme retest — ověříme, že fixe jsou efektivní a nezavedly nové zranitelnosti.

Continuous Security Testing¶

Jednorázový pentest je snapshot. Pro kontinuální bezpečnost integrujeme:

• DAST v CI/CD — OWASP ZAP, Burp Suite Enterprise v pipeline
• SAST — SonarQube, Semgrep pro statickou analýzu při každém commit
• Dependency scanning — Snyk, Dependabot pro continuous CVE monitoring
• Bug bounty — Program pro external security researchers (setup, triage, reward management)

Scope a ceny¶

Scope	Doba	Orientační cena
Webová aplikace (standard)	3-5 dní	od 150K CZK
API (REST/GraphQL)	2-4 dny	od 120K CZK
Mobilní aplikace (iOS + Android)	5-8 dní	od 200K CZK
Infrastruktura (external)	3-5 dní	od 150K CZK
Komplexní (app + infra + API)	10-20 dní	od 400K CZK

Přesnou cenu stanovíme po scoping callu — závisí na velikosti aplikace, počtu endpointů a požadované hloubce.