Metodologie de testare
Urmăm OWASP Web Security Testing Guide (WSTG) și OWASP Top 10, combinând scanarea automată cu testarea manuală aprofundată pe întreaga suprafață request/response, configurație și business logic.
Autentificare & management sesiuni
Atacuri pe credențiale, bypass MFA, defecte de resetare parolă și recuperare cont, session fixation și hijacking, și slăbiciuni JSON Web Token (JWT).
Autorizare & control acces
Insecure direct object references (IDOR), autorizare ruptă la nivel de obiect și funcție, escaladare de privilegii și testarea izolării multi-tenant.
Validare input & injecții
SQL injection, cross-site scripting (XSS), server-side request forgery (SSRF), command și template injection, și deserializare nesigură.
Business logic & abuz
Bypass de workflow și validare, race conditions, mass assignment și abuz de funcționalitate legitimă pe care scannerele îl ratează.
Framework-uri & standarde
Ce primești
- Constatări evaluate pe severitate (CVSS) cu pași de reproducere
- Ghid de remediere pentru dezvoltatori
- Sumar executiv pentru management și auditori
- Retestare gratuită a problemelor remediate
FAQ
Black-box sau white-box?
Ambele. White-box (cu sursă/credențiale) găsește mai mult, mai repede; îl recomandăm pentru aplicații critice, dar suportăm și black-box.
Testați în producție sau staging?
De obicei un mediu de staging reprezentativ, cu ferestre de testare sigure și agreate pentru producție unde e nevoie.
Este inclusă o retestare?
Da — după ce remediezi, retestăm constatările raportate și actualizăm raportul.