Varnostno testiranje · Pentest · OWASP
Pentest, ki ga lahko pokažete revizorju
Black/gray/white box pentest spletnih aplikacij in API-jev. Pisno pooblastilo pred vsakim klikom, OWASP/PTES metodologija, poročilo z reprodukcijskimi koraki. Kali Linux + Burp Suite Pro + WebTesterAI MCP, orkestrirano z agenti — pod nadzorom človeka.
Kdaj potrebujete pentest
Pentest je strukturiran, nadzorovan in pisno pooblaščen poskus vdora — odkrije luknje, preden jih najdejo pravi napadalci. Naročite ga, ko:
- Tik pred izdajo nove aplikacije ali velike posodobitve
- Pri regulatornih zahtevah (PCI DSS, ISO 27001, NIS 2, GDPR čl. 32)
- Po varnostnem incidentu (post-breach assessment, root-cause)
- Pri due diligence — investicija, prevzem, M&A
- Periodično (letno ali polletno) za visoko-vrednostne aplikacije
- Pred velikimi pogodbenimi obveznostmi, kjer kupec zahteva dokazilo
Tipi — Black / Gray / White box
Tip določa, koliko notranjih informacij testerji imajo vnaprej. Vsak ima svoj smisel; pogosto kombiniramo.
- Black box — brez vnaprejšnjega znanja, simulira zunanjega napadalca. Najdaljši, najbližji realnosti, omejen z odkrivanjem površine.
- Gray box — z osnovnimi informacijami (uporabniški računi, javna dokumentacija). Optimalno razmerje pokritost/čas.
- White box — poln dostop do kode, arhitekture, modela groženj. Najgloblji pregled, najboljši za kritične aplikacije.
- Gray + White kombinacija — za maksimalno vrednost na omejen proračun.
- External (z interneta) ali internal (znotraj omrežja) ali oboje — odvisno od scope.
Metodologija — OWASP, PTES, ASVS
Delamo po uveljavljenih standardih, da je delo preverljivo, primerljivo in poročilo razumljivo revizorjem.
- OWASP Top 10 in OWASP ASVS (Application Security Verification Standard) za web/API
- PTES — Penetration Testing Execution Standard za splošni okvir izvedbe
- MITRE ATT&CK za mapiranje napadalskih tehnik in tactics
- OWASP MASVS — če pride do mobilnih aplikacij
- Vsako odkritje: CVSS 4.0 score + business impact opis + remediation predlog
- Reprodukcija s skripti, screenshoti, raw requesti — če ne moreš ponoviti, ne šteje
Orodja — Kali stack + AI agentno orkestrirano
Klasičen pentest stack v Kali Linuxu, kombiniran z AI agentnim slojem za hitrejše odkrivanje vzorcev, paralelizacijo skenov in regresijo po popravkih. Vse pod nadzorom človeka — agenti predlagajo, človek potrdi.
- Network: nmap, masscan, naabu, dnsx, subfinder, amass
- Web/API: Burp Suite Pro, OWASP ZAP, sqlmap, ffuf, nuclei, wpscan
- WebTesterAI MCP — naš agent za hitro odkrivanje vzorcev XSS/SQLi/SSRF/IDOR
- AIIOtalk — orchestrator za regresijo varnostnih scenarijev po popravkih
- Custom skripte za specifične vektorje (poslovna logika, race conditions, broken access control)
- Pri MCP/agentskih aplikacijah: poseben fokus na prompt injection, tool abuse, data exfiltration
Kali Linux · Burp Suite Pro · WebTesterAI MCP · nmap · sqlmap · Python · TypeScript
Pravna varovala — brez pooblastila ni testa
Pentest brez pisnega pooblastila je v Sloveniji nedovoljen dostop do informacijskega sistema (KZ-1 čl. 221) — kaznivo dejanje. Zato delamo izključno z eksplicitnim, pisnim, podpisanim pooblastilom.
- Pisno pooblastilo s podpisom odgovorne osebe pred vsakim skeniranjem
- Pooblastilo eksplicitno navede IN-scope in OUT-of-scope sisteme
- Časovno okno z začetkom in koncem; po njem testiranje preneha
- Dovoljene in prepovedane metode — DoS, brute force, social engineering ipd. so privzeto NE
- NDA (pogodba o nerazkritju) — če klient zahteva, podpišemo pred začetkom
- Notifikacija hosting providerju (po dogovoru) za izognitev abuse-desk eskalaciji
Cena & časovnica
Cena je odvisna od obsega — število aplikacij, tip testa, globina, želen rok poročila. Okvirne časovnice:
- Mala web aplikacija, gray box: 3–5 delovnih dni + 2 dni za poročilo
- Standardna web app + API, gray box: 1–2 tedna + 3 dni za poročilo
- Enterprise sistem ali kompleksna platforma, white box: 2–4 tedne + 1 teden za poročilo
- Re-test po popravkih: pol-cena za 30 dni po oddaji poročila
- Letni retainer (4× kvartalno): popust na celotno + prioriteta v urniku
- Poročilo: SL ali EN, executive summary + tehnične podrobnosti, dostavljen tudi tiskan na zahtevo
Pisno pooblastilo · OWASP · MITRE ATT&CK · CVSS 4.0 · SL/EN poročilo
FAQ
Pogosta vprašanja
Ali boste prekinili moj promet ali povzročili škodo?
Naš pristop je previden in nadzorovan. DoS, brute force in destruktivne metode so privzeto IZKLJUČENE; testirate jih lahko eksplicitno z opozorilom o tveganju. Vse skene izvajamo s hitrostmi, ki jih sistem zdrži; če zaznamo nestabilnost, takoj ustavimo. Imamo emergency kontakt 24/7 za primere.
Kako varujete naše podatke, ki jih najdemo med pentestom?
Vse odkritje shranjeno na šifrirani delovni postaji (LUKS), prenos prek šifriranih kanalov. Vsi podatki se po dostavi poročila uničijo v 30 dneh (ali takoj na zahtevo). NDA podpišemo pred začetkom, če to zahtevate.
Kaj točno vsebuje končno poročilo?
Executive summary (za vodstvo) + tehnične podrobnosti (za razvoj). Vsako odkritje: opis, CVSS 4.0 ocena, business impact, reprodukcijski koraki s screenshoti, predlog popravka, reference. Poročilo je v SL ali EN, formatirano za revizorje (PDF in HTML). Po želji tudi tiskano.
Ali lahko pentest naredi naša interna ekipa?
Lahko, a interni pristranskosti je težko ubežati — poznate svoj sistem preveč. Zato kombinacija: interni nadzor + zunanji pentest enkrat letno daje najbolj realno sliko. Zunanje poročilo je tudi tisto, kar revizorji in stranke zaupajo.
Kako pogosto naročiti pentest?
Letno za stabilne aplikacije; po vsaki večji posodobitvi za hitro se razvijajoče. Po incidentu vedno. Za regulatorno občutljiv pristop (PCI DSS, NIS 2) polletno. Re-test po popravkih je vključen v ceno (30 dni po poročilu).
Koliko časa od oddaje povpraševanja do prvega skena?
Tipično 1–2 tedna: 1 delovni dan za predlogo pooblastila, 3–5 dni za podpis in pravne zadeve, 3–5 dni za podrobno scoping in pripravo. Po podpisanem pooblastilu in zaključenem scope sestanku začnemo. Nujni primeri (post-incident) lahko hitreje.