Ankieta do wyceny testów bezpieczeństwa

Dane ogólne (zalecane)

To pomaga przygotować ofertę i dobrać tryb testów. Jeśli nie chcesz podawać danych kontaktowych — pomiń.

Nazwa organizacji / projektu

Osoba kontaktowa

E-mail kontaktowy

Telefon (opcjonalnie)

Dodatkowe uwagi / kontekst

Testy aplikacji webowej

Zakres dotyczący aplikacji WWW (logika, uprawnienia, sesje, backend, integracje). Jeśli masz link do środowiska testowego — podaj w uwagach.

Testy sieci zewnętrznej (Internet)

Zakres ekspozycji publicznej: hosty, usługi, perimeter. Jeśli wchodzą aplikacje web — opisz liczbę i przybliżony rozmiar.

1. Ile hostów / jaki zakres (maska) do analizy z Internetu? *

2. Czy analizować też aplikacje web? Jeśli tak — ile i jakie? Jaki rozmiar (liczba publicznych podstron)?

3. Czy oferta ma zawierać retesty?

Tak Nie Do ustalenia

Testy sieci wewnętrznej (LAN)

Zakres adresacji i lokalizacji. Jeśli jest segmentacja/VLAN — opisz w uwagach.

1. Ile (szacunkowo) adresów IP w LAN (serwery, routery, firewalle, komputery...)? *

2. Lokalizacja LAN (jedna czy wiele)?

3. Czy oferta ma zawierać retesty?

Tak Nie Do ustalenia

Testy sieci Wi-Fi

Testy weryfikujące m.in. konfigurację, uwierzytelnianie, segmentację, możliwość ataków lokalnych.

1. Ile sieci Wi-Fi ma być testowanych? *

2. Lokalizacja fizyczna (czy więcej niż jedna, np. różne miasta)?

3. Czy oferta ma zawierać retesty?

Tak Nie Do ustalenia

Testy VPN

Typ VPN, tryb dostępu, uwierzytelnianie, konfiguracje i podatności typowe dla zdalnego dostępu.

1. Jaki typ VPN ma być testowany (IPSec/OpenVPN/site-to-site/remote access/inne)? *

2. Czy oferta ma zawierać retesty?

Tak Nie Do ustalenia

Testy aplikacji mobilnej

Zakres obejmuje aplikację oraz jej komunikację z backend/API. Jeśli jest osobne API, możesz też wypełnić sekcję API.

1. Do czego służy aplikacja? *

2. Skala (szac. liczba unikalnych ekranów)

3. Liczba grup użytkowników (różne uprawnienia)

4. Platformy (iOS/Android) *

iOS Android Inne

5. Screenshoty (2–3) (opcjonalnie)

6. Typ aplikacji

Natywna Hybrydowa (np. Cordova/Ionic) Nie wiem

7. Szacowany rozmiar API (liczba metod + złożoność)

8. Oczekiwany termin / timeframe audytu

9. Czy oferta ma zawierać retesty?

Tak Nie Do ustalenia

Testy aplikacji desktopowej

Zakres dla aplikacji na stacje robocze/Windows/macOS/Linux (thick client), w tym autoryzacja, komunikacja, konfiguracje.

1. Do czego służy aplikacja? *

2. Technologia (C++/Java/C# itd.)

3. Liczba ekranów

4. Czy testy zdalne są możliwe?

Tak Nie Częściowo

5. Na jakim środowisku będą prowadzone testy?

Test / staging Produkcja Oba

6. Ograniczenia czasowe (np. nocne okna)?

7. Oczekiwany termin zakończenia audytu

8. Czy oferta ma zawierać retesty?

Tak Nie Do ustalenia

9. Jak wygląda uwierzytelnianie do aplikacji?

10. Dodatkowa autoryzacja operacji wrażliwych?

Testy API

Zakres dla interfejsów integracyjnych: autoryzacja, uprawnienia, rate limiting, BOLA/BFLA, walidacja danych itd.

1. Typ API (SOAP/WebService/REST/GraphQL itp.) *

2. Szacowany rozmiar API (liczba metod + złożoność)

3. Jak realizowane jest uwierzytelnianie do API?

4. Czy testy zdalne są możliwe?

Tak Nie Częściowo

5. Na jakim środowisku będą prowadzone testy?

Test / staging Produkcja Oba

6. Ograniczenia czasowe (np. nocne okna)?

7. Oczekiwany termin zakończenia audytu

8. Czy oferta ma zawierać retesty?

Tak Nie Do ustalenia

Czy posiadają Państwo dokumentację lub pliki opisujące API (np. Postman Collection, OpenAPI/Swagger, WSDL dla SOAP, schema GraphQL)?
Jeśli tak, prosimy o załączenie ich tutaj: Dozwolone rozszerzenia: .json .yaml .yml .wsdl .xsd/.sxd .graphql/.grapghql .gql .txt .md .zip. Maksymalny rozmiar pliku: 20 MB.

Testy socjotechniczne (Social engineering)

Wybierz typy testów. Jeśli masz ograniczenia prawne/HR/RODO – dopisz w uwagach.

Jakie testy mają być wykonane? *

Mailing (phishing) – próba skłonienia do uruchomienia złośliwego kodu Telefoniczne – próba manipulacji / uruchomienia kodu On-site – próby wejścia, strefy, podłączenia urządzeń Pozostawianie USB z przygotowanym ładunkiem Inne

Jeśli „Inne” – opisz poniżej.

Opis „inne” / dodatkowe szczegóły

Przegląd kodu źródłowego (Source code overview)

Analiza jakości i bezpieczeństwa kodu (whitebox). Jeśli jest monorepo/moduły — opisz w uwagach.

1. Ile linii kodu (LOC)? *

2. Technologie (języki/frameworki)

3. Czy testy na naszych komputerach są możliwe?

Tak Nie Do ustalenia

4. Czy oferta ma zawierać retesty?

Tak Nie Do ustalenia

Testy odporności na DoS/DDoS

Uwaga: testy DDoS są ryzykowne operacyjnie. W praktyce zwykle wymagają dedykowanych okien, zgód oraz planu awaryjnego.

1. Na jakim środowisku wykonać testy (aplikacja/sieć)? Co dokładnie? *

2. Oczekiwany wolumen ruchu (np. 100/200/500 Mbps)?

3. Jeśli testy aplikacji: czy obejmować warstwę aplikacyjną (np. równoległe wyszukiwania)?

4. Czy oferta ma zawierać retesty?

Tak Nie Do ustalenia

Kontenery / Kubernetes

Zakres konfiguracji, polityk bezpieczeństwa, dostępu do klastra oraz scenariuszy symulacyjnych.

1. Czy audyt obejmuje całe K8s czy pojedyncze kontenery (Docker)? Ile konfiguracji? *

2. Czy możliwe jest podłączenie do klastra w trybie read-only w trakcie testów (do pobrania fragmentów konfiguracji)?

Tak Nie Do ustalenia

3. Czy można uruchomić własny kontener w klastrze (symulacja kompromitacji)?

Tak Nie Do ustalenia

4. Gdzie działa K8s?

On-prem Cloud Hybryda

5. System operacyjny master node

Skrypt pomocniczy do zebrania konfiguracji klastra

W celu usprawnienia audytu konfiguracji Kubernetes mogą Państwo uruchomić poniższy skrypt pomocniczy, który automatycznie zbierze konfiguracje zasobów klastra (read-only) i spakuje je do jednego archiwum.

Skrypt należy uruchomić na systemie z dostępem do klastra Kubernetes (kubectl skonfigurowany).
Skrypt nie modyfikuje konfiguracji klastra – wykonuje wyłącznie operacje odczytu.
Wynikiem działania jest plik output.tgz zawierający konfiguracje zasobów w formacie YAML.
Prosimy o przekazanie wygenerowanego pliku w osobnej wiadomości na początku realizacji audytu.
Komendy do uruchomienia:
chmod +x k8s-config-collector.sh
./k8s-config-collector.sh

Podsumowanie

Tu zobaczysz skrót odpowiedzi w formie kart oraz wykonasz walidację wymaganych pól. Eksport JSON nadal pobierze wszystkie odpowiedzi.

Podgląd odpowiedzi (graficzny)

Wskazówka: skopiuj wartości lub użyj eksportu JSON, jeśli potrzebujesz surowych danych.

Walidacja

Sprawdza pola wymagane (*) w całej ankiecie.

Akcje

Eksportuje odpowiedzi do pliku lub generuje profesjonalny PDF.

Ankieta do wyceny testów bezpieczeństwa (Security Test Survey)

Dane ogólne (zalecane)

Testy aplikacji webowej

Testy sieci zewnętrznej (Internet)

Testy sieci wewnętrznej (LAN)

Testy sieci Wi-Fi

Testy VPN

Testy aplikacji mobilnej

Testy aplikacji desktopowej

Testy API

Testy socjotechniczne (Social engineering)

Przegląd kodu źródłowego (Source code overview)

Testy odporności na DoS/DDoS

Kontenery / Kubernetes

Podsumowanie

Jak korzystać z ankiety