Testy penetracyjne aplikacji mobilnych

Dostęp do środowiska testowego może być realizowany na różne sposoby, w zależności od rodzaju infrastruktury oraz charakteru przeprowadzanych testów penetracyjnych.

Najczęściej stosowane metody to:

• VPN – klient udostępnia dane dostępowe do swojego vpna, co pozwala testerom na uzyskanie wewnętrznego dostępu do infrastruktury

• aplikacja zewnętrzna – w przypadku aplikacji dostępnej publicznie, klient przekazuje adresy url lub hosty, dokumentację oraz konta użytkowników

• obraz iso – klient otrzymuje od nas gotowy obraz systemu linux w formacie .iso, który może być uruchomiony w sieci wewnętrznej jako punkt dostępowy vpn

• RDP – klient może udostępnić zdalny dostęp do środowiska testowego (np. maszyny z systemem kali linux) poprzez protokół RDP.

• TailScale – opcjonalne rozwiązanie umożliwiające szybkie zestawienie bezpiecznego połączenia z infrastrukturą klienta bez konieczności skomplikowanej konfiguracji

Wybór odpowiedniej metody powinien zostać ustalony indywidualnie z naszym zespołem technicznym, tak aby zapewnić sprawne i bezpieczne przeprowadzenie testów. W razie pytań – jesteśmy do dyspozycji.

Czas trwania testu penetracyjnego zależy od wielu czynników, takich jak zakres projektu, złożoność środowiska oraz rodzaj wybranego testu. Poniżej przedstawiamy kluczowe elementy wpływające na długość realizacji:

• zakres i skala projektu – większe i bardziej złożone środowiska wymagają więcej czasu

• rodzaj testu – testy black-box zwykle trwają dłużej niż white-box lub grey-box ze względu na brak dostępu do informacji

• głębokość analizy – testy podstawowe realizowane są szybciej niż pełne analizy bezpieczeństwa

• liczba testowanych systemów – im więcej aplikacji, serwerów czy urządzeń, tym dłuższy czas testów

• dostępność dokumentacji i osób kontaktowych po stronie klienta

• poziom złożoności infrastruktury i zabezpieczeń

Standardowy test penetracyjny trwa zazwyczaj od kilku dni do kilku tygodni. W przypadku mniejszych projektów czas realizacji wynosi zwykle 1–2 tygodnie. Bardziej rozbudowane testy w dużych środowiskach mogą trwać od 4 do 6 tygodni lub dłużej.

Różnice między tymi typami testów wynikają z poziomu wiedzy i dostępu, jaki tester otrzymuje przed rozpoczęciem analizy. Każde z podejść ma inne zastosowanie i sprawdza się w różnych scenariuszach.

• Black-box - Tester nie ma żadnej wiedzy o systemie. Działa jak zewnętrzny atakujący, bez dostępu do kodu, konfiguracji czy kont użytkowników. To podejście pozwala ocenić, jak system wygląda z zewnątrz i jak skutecznie chroni się przed nieautoryzowanym dostępem. Jego zaletą jest realistyczna symulacja ataku, natomiast ograniczeniem - brak wglądu w wewnętrzne warstwy aplikacji oraz brak możliwości wykrycia podatności, które wymagają określonego poziomu uprawnień, np. eskalacji z użytkownika do administratora.
• Grey-box - Tester ma częściowy dostęp do informacji o systemie – np. dane logowania, dokumentację użytkownika lub uproszczoną architekturę. Łączy spojrzenie z zewnątrz z podstawową znajomością środowiska. Pozwala to na bardziej precyzyjne i efektywne testy, które mogą objąć zarówno elementy narażone na ataki zewnętrzne, jak i podatności wewnętrzne.
• White-box - Tester ma pełen dostęp do środowiska, kodu źródłowego, dokumentacji technicznej oraz kont z uprawnieniami administracyjnymi. To podejście umożliwia najbardziej szczegółową ocenę bezpieczeństwa – idealne do przeglądu kodu, testowania zgodności z dobrymi praktykami oraz analizy wewnętrznych komponentów. Jego ograniczeniem jest to, że nie odzwierciedla realnego scenariusza ataku z zewnątrz.

Aby zapewnić płynne i skuteczne przeprowadzenie testów bezpieczeństwa, konieczne jest dostarczenie odpowiednich informacji w zależności od rodzaju testu penetracyjnego. Poniżej przedstawiamy wymagania dla poszczególnych typów testów:

1. Pentest Black-Box
   Pentest typu black-box zakłada brak wcześniejszej wiedzy testera na temat środowiska. Wymagane informacje to:

• • Adresy URL środowiska testowego i produkcyjnego aplikacji.

2. Pentest Grey-Box
   W podejściu grey-box tester otrzymuje ograniczony dostęp i dane logowania. Wymagane informacje to:

• • Adresy URL środowiska testowego i produkcyjnego aplikacji

  • Dane logowania do kont testowych; preferowany jest superużytkownik. W przeciwnym razie wymagane są co najmniej dwa konta dla każdej roli użytkownika

  • Dokumentacja użytkownika oraz informacje kontekstowe dotyczące działania aplikacji

  • Lista funkcjonalności, linki oraz wykaz komponentów aplikacji

3. Pentest White-Box
   Zakłada pełny dostęp do środowiska, kodu oraz dokumentacji. Wymagane informacje to:

• • Adresy URL środowiska testowego i produkcyjnego aplikacji

  • Dane logowania do kont testowych; preferowany jest superużytkownik. W przeciwnym razie wymagane są co najmniej dwa konta dla każdej roli użytkownika

  • Dostęp do środowiska testowego (np. przez SSH, RDP lub FTP) z minimalnymi uprawnieniami odczytu i zapisu (preferowane sudo rights)

  • Pełna dokumentacja aplikacji i architektury

  • Dostęp do kodu źródłowego aplikacji

  • Dostęp do API (jeśli jest w zakresie), np. kolekcja Postman zawierająca wszystkie zapytania

Częstotliwość testów penetracyjnych zależy od wielu czynników, takich jak ryzyko, zmiany w systemie oraz wymagania branżowe. Oto ogólne wytyczne:

• Minimum raz w roku – rekomendowane dla większości organizacji.

• Co 6 miesięcy lub co kwartał – w branżach wysokiego ryzyka (np. finanse, medycyna).

• Po większych aktualizacjach aplikacji – w celu wykrycia nowych podatności.

• Po zmianach infrastruktury – np. migracja na nowy serwer lub do chmury.

• Zgodnie z regulacjami branżowymi – np. PCI DSS, HIPAA, NIS2, DORA, ISO 27001.

• Na podstawie oceny ryzyka – im większe ryzyko, tym częstsze testy.

W celu dobrania odpowiedniej częstotliwości testów dla Twojej organizacji, skontaktuj się z naszym zespołem – pomożemy w analizie ryzyka i zaplanowaniu strategii bezpieczeństwa.

Koszt testów penetracyjnych ustalany jest indywidualnie i zależy od wielu czynników, takich jak zakres usługi, złożoność środowiska, liczba testowanych systemów oraz wielkość organizacji.

Cena za usługę rozpoczyna się od 9999 zł netto + VAT, jednak ostateczna wycena każdorazowo przygotowywana jest na podstawie szczegółowych informacji dotyczących testowanego środowiska.

Przed zamówieniem testów penetracyjnych zachęcamy do kontaktu z naszym ekspertem, który pomoże określić odpowiedni zakres i przygotuje dedykowaną ofertę dopasowaną do potrzeb Twojej firmy.

Aby testy penetracyjne przebiegły skutecznie i bez zakłóceń, należy odpowiednio przygotować środowisko testowe. Poniżej znajduje się lista kluczowych kroków:

1. Przygotuj środowisko testowe
   Upewnij się, że środowisko zawiera aktualny kod oraz bieżące konfiguracje. Testy powinny być wykonywane najlepiej w środowisku preprodukcyjnym lub testowym. Jeśli środowisko nie jest wierną kopią produkcji, powinno przynajmniej zawierać odpowiednie dane testowe – umożliwi to pełną weryfikację funkcjonalności systemu.

2. Zweryfikuj poprawność działania środowiska
   Sprawdź, czy wszystkie funkcje i komponenty aplikacji działają poprawnie i odpowiadają tym z wersji produkcyjnej. Przeprowadź dokładny przegląd systemu i poinformuj zespół testerów o wszelkich ograniczeniach lub nieaktywnych funkcjach.

3. Utwórz kopie zapasowe
   Zadbaj o wykonanie pełnych backupów przed rozpoczęciem testów. W trakcie testów penetracyjnych dane mogą zostać zmodyfikowane lub usunięte, dlatego posiadanie aktualnych kopii zapasowych jest kluczowe.

4. Poinformuj dostawcę usług hostingowych
   Skontaktuj się z dostawcą hostingu i poproś o dodanie adresów IP zespołu testującego do listy dozwolonych adresów w systemach IDS/IPS oraz w mechanizmach ograniczających ruch (rate limiting). Dzięki temu testy nie będą zakłócane przez systemy bezpieczeństwa. Szczegółowe informacje znajdziesz w sekcji FAQ.

5. Dostarcz niezbędne informacje
   W zależności od wybranego rodzaju testu penetracyjnego (np. white-box, grey-box), może być wymagane przekazanie dodatkowych informacji, takich jak konta testowe, dokumentacja API czy schematy sieci. Więcej informacji na ten temat znajduje się w FAQ.

6. Dostosuj ustawienia SMTP
   Jeśli środowisko testowe wysyła wiadomości e-mail, upewnij się, że konfiguracja SMTP nie prowadzi do wysyłania maili do rzeczywistych użytkowników. Zastosuj ograniczenia lub przekierowania, aby uniknąć niezamierzonego powiadamiania klientów w trakcie testów.

Nasze testy penetracyjne są skierowane do firm i instytucji, które priorytetowo traktują bezpieczeństwo systemów informatycznych oraz zgodność z obowiązującymi standardami i regulacjami. Współpracujemy z szerokim wachlarzem klientów, w tym z organizacjami działającymi w branżach:

• Bankowość i Fintech

• High-Tech

• IoT (Internet of Things)

• Gaming i Gambling

• Branża medyczna

• E-Commerce

Szczególną uwagę poświęcamy branżom regulowanym, takim jak sektor finansowy, opieka zdrowotna czy energetyka, które muszą spełniać surowe normy bezpieczeństwa. Nasze testy penetracyjne wspierają te podmioty w realizacji wymagań takich jak:

• HIPAA – ochrona danych medycznych,

• PCI DSS – bezpieczeństwo danych kart płatniczych,

• ISO 27001 – systemy zarządzania bezpieczeństwem informacji,

• RODO (GDPR) – ochrona danych osobowych,

• oraz inne krajowe i branżowe regulacje.