Įsilaužimo testavimas
Nuolatinis išorinis svetainės ir infrastruktūros saugumo testavimas — integruotas. Jokių trečiųjų šalių skenerio paskyrų, jokio duomenų dalijimosi, jokio diegimo. Įveskite domeną, spustelėkite Skenuoti, gaukite prioritetinę saugumo ataskaitą.
Aiškus jūsų saugumo padėties vaizdas
Tikriname jūsų viešai pasiekiamą infrastruktūrą taip, kaip tą darytų užpuolikas, ir pateikiame aiškų reitinguotą sąrašą, ką taisyti. Kiekvienas pažeidžiamumas pateikiamas su konkrečiais įrodymais, sunkumo balu ir žingsniniais sprendimo nurodymais.
Tiesioginis saugumo balas
Tiesioginis saugumo padėties balas, atnaujinamas su kiekvienu skenavimu, suteikia visada aktualų jūsų pažeidžiamumo vaizdą.
Sunkumo reitingavimas
Pažeidžiamumai pagal Kritinį, Aukštą, Vidutinį, Žemą, Informacinį lygius — žinote, ką tvarkyti pirmiausia.
Aiškūs paaiškinimai
Aiškūs kiekvieno pažeidžiamumo paaiškinimai ir kaip juos pataisyti — jokio žargono, jokio spėliojimo dėl sprendimo žingsnių.
AI vadovybės santrauka
AI sugeneruota santrauka, tinkama suinteresuotosioms šalims ir valdybos ataskaitoms — techniniai pažeidžiamumai išversti į verslo kalbą.
Auditui paruoštos PDF ataskaitos
Eksportuojamos PDF ataskaitos su pažeidžiamumų įrodymais ir sprendimo būsena — būtent tai, ko tikisi auditorius ar atitikties peržiūra.
Skenavimų palyginimai
Vienas šalia kito skenavimų palyginimai, kad galėtumėte įrodyti pažangą laikui bėgant — kas pataisyta, kas naujo, kas regresavo.
Sprendimo darbo procesas
Integruotas sprendimo darbo procesas, kad galėtumėte stebėti, kas ką pataisė ir kada, su pastabomis ir sprendimo datomis auditui.
Ką tikriname
Aprėptis plečiasi pagal skenavimo gylį — Pasyvus skaito be zondavimo, Aktyvus prideda atakos paviršiaus išvardijimą, Gilus prideda išsamią šifrų ir injekcijų analizę.
Domeno ir DNS sveikata
Registracija, vardų serveriai, SPF/DKIM/DMARC el. pašto saugumas ir sertifikatų institucijos užrakinimas.
Tinklo pažeidžiamumai
Atviri prievadai, atviri servisai ir reklaminiai pranešimai, atskleidžiantys versijos ir konfigūracijos informaciją užpuolikams.
TLS ir šifravimas
Sertifikatų galiojimas, silpni protokolai, šifravimo paketų silpnybės ir HSTS padėtis visuose galiniuose taškuose.
Saugumo antraštės
HSTS, CSP, frame-options, content-type-options ir visas HTTP atsakymo saugumo antraščių rinkinys.
Žiniatinklio aplikacijų pažeidžiamumai
Atskleisti administratoriaus keliai, šaltinio kodo nutekėjimai, derinimo puslapiai, atviri peradresavimai ir host-header injekcijos pažeidžiamumai.
JavaScript paslaptys
Užkoduoti API raktai, debesų prisijungimai ir vidiniai URL, netyčia įkelti į jūsų priekinę pusę. Skenuojame ir istorines kopijas.
CMS specifinės problemos
Žinomai pažeidžiami papildiniai ir pasenusios pagrindinės versijos WordPress, Drupal, Joomla ir Magento sistemose.
API pažeidžiamumai
Swagger ir GraphQL galiniai taškai, palikti produkcijoje, įjungta introspekcija ir neautentifikuotas API paviršius.
Debesų saugykla
Netyčia vieši S3, GCS ir Azure krepšeliai, susiję su jūsų prekės ženklu — dažna duomenų nutekėjimų priežastis.
Padomenių užgrobimo rizika
Laisvi DNS įrašai, nukreipti į neužimtus servisus — užpuolikų naudojamas vektorius jūsų prekės ženklui imituoti.
CORS ir JWT autentifikacijos klaidos
Pakaitalo simbolių CORS šaltiniai, pavojingi JWT algoritmų pasirinkimai ir autentifikacijos konfigūracijos klaidos.
Žinomi CVE
Automatiškai sulyginama su aptiktomis programų versijomis, kryžminis patikrinimas su naujausiomis pažeidžiamumų duomenų bazėmis.
CORS konfigūracijos klaidos
Aktyvus ir Gilus — aptinka savavališko šaltinio atspindėjimą, nulinės kilmės apeityną ir kredencialų nutekėjimą per CORS antraštes.
CRLF injekcija
Aktyvus ir Gilus — tikrina antraščių injekciją per URL kelius ir užklausos eilutės parametrus.
Talpyklos apnuodijimas
Aktyvus ir Gilus — aptinka nekeistų antraščių atspindėjimą, patvirtintą talpyklos HIT antrojoje užklausoje.
WAF aptikimas
Aktyvus ir Gilus — atpažįsta Cloudflare, Sucuri, F5, Imperva, Akamai arba nežinomą WAF per atakos šablonų zondus.
Greičio ribojimas
Aktyvus ir Gilus — tikrina prisijungimo ir API galinius taškus dėl trūkstamo greičio ribojimo.
SSRF zondas
Aktyvus ir Gilus — įterpia debesų IMDS URL (AWS, GCP, Azure) ir loopback adresus į URL tipo parametrus ir antraštes, siekiant aptikti serverio pusės užklausų klastojimą.
HTML & turinio injekcija
Aktyvus ir Gilus — tikrina URL parametrus ir kūno reikšmes dėl atspindimos HTML injekcijos, atributo injekcijos, CSS injekcijos ir JavaScript konteksto injekcijos.
Išsami TLS analizė
Tik Gilus — pilna šifrų paketo analizė: SSLv2/DROWN, SSLv3/POODLE, BEAST, SWEET32 (3DES), FREAK/EXPORT, LOGJAM (DHE-EXPORT), NULL šifrų palaikymas ir tobulo išankstinio slaptumo užtikrinimo nebuvimas.
SQL injekcija
Aktyvus ir Gilus — klaidų, loginių aklųjų ir laikui pagrįstų aklųjų SQLi tikrinimas URL parametruose, formos laukuose, antraštėse ir JSON kūno reikšmėse.
Kryžminių svetainių skriptavimas (XSS)
Aktyvus ir Gilus — atspindimo XSS testavimas naudojant skripto žymos, atributo laužimo, JavaScript konteksto ir DOM kriauklės injekcijų vektorius.
Šablonų injekcija (SSTI)
Aktyvus ir Gilus — serverio pusės šablonų injekcijų tikrinimas Jinja2, Twig, Freemarker, ERB ir Pug šablonų varikliuose.
Vietinių failų įtraukimas (LFI)
Aktyvus ir Gilus — kelio peržengimo ir LFI tikrinimas URL parametruose ir antraštėse; aptinka /etc/passwd, žiniatinklio serverio konfigūracijų ir programos šaltinio failų skaitymą.
XML išorinis subjektas (XXE)
Aktyvus ir Gilus — XXE injekcija XML priimančiuose galiniuose taškuose, tikrinant failų gavimą, SSRF per DTD ir out-of-band eksfiltraciją.
Failų įkėlimo piktnaudžiavimas
Aktyvus ir Gilus — tikrina įkėlimo galinius taškus dėl skriptų plėtinių apėjimo, dvigubo plėtinio įkėlimo ir MIME tipo apėjimo; patvirtina gavimą siekiant įrodyti RCE riziką be klaidingų teigiamų rezultatų SPA universalaus maršruto keliuose.
HTTP užklausos kontrabanda
Aktyvus ir Gilus — CL.TE, TE.CL ir TE.TE desinchronizacijos tikrinimas. Lyginamas su pavyzdinėmis užklausomis siekiant patvirtinti desinchronizaciją ir sumažinti klaidingus teigiamus rezultatus.
Numatytieji prisijungimo duomenys
Tik Gilus — tikrina aptiktus administravimo skydelius (Jenkins, phpMyAdmin, Grafana, Adminer, Kibana, Tomcat Manager, Airflow, Traefik, RabbitMQ) dėl numatytųjų arba silpnų prisijungimo duomenų priėmimo.
Sesijų valdymas
Tik Gilus — analizuoja slapukų entropiją, Secure/HttpOnly/SameSite žymų buvimą, sesijos žetonų nuspėjamumą ir fiksacijos riziką.
OAuth konfigūracijos klaidos
Tik Gilus — tikrina OAuth srautus dėl trūkstamo state parametro (CSRF), atviro redirect_uri ir nepakankamo nukreipimo URI tikrinimo.
Nesaugios tiesioginės objektų nuorodos (IDOR)
Tik Gilus — IDOR išvardijimas API galiniuose taškuose naudojant nuoseklių ID manipuliavimą, UUID spėjimą ir horizontalaus privilegijų eskalavimo tikrinimus.
GraphQL išsami analizė
Tik Gilus — introspekcijos piktnaudžiavimas, paketinių užklausų didinimas, užklausos gylio ir sudėtingumo išnaudojimas ir laukų lygio autorizacijos tikrinimas.
WebSocket saugumas
Tik Gilus — Origin antraštės tikrinimas, kryžminių svetainių WebSocket užgrobimas (CSWSH) ir pranešimų injekcijų tikrinimas aptiktuose WebSocket galiniuose taškuose.
Priklausomybių painiava
Tik Gilus — aptinka atskleistus paketų manifestų failus ir vidinius paketų pavadinimus, kurie galėtų būti užimti viešuosiuose registruose tiekimo grandinės kompromitavimui.
Prototipo tarša
Tik Gilus — kliento pusės prototipo taršos tikrinimas per užklausos parametrus ir JSON kūno reikšmes, testuojant grandininį susiejimą su DOM pagrįstu XSS.
Mėnesinis
1 skenavimas per mėnesį pagal pasirinktą profilį. Pilni OWASP radiniai, CVSS įverčiai, PDF ataskaita, prieiga prie pulto.
Geriausia: komandos su mėnesiniu išleidimo ciklu
Savaitinis
1 skenavimas per savaitę — aptinkite regresijas tarp kiekvieno leidimo. PDF kiekvienam skenavimui, regresijų skirtumų peržiūra, prieiga prie pulto.
Geriausia: komandos, diegiančios kas savaitę arba naudojančios CI/CD vamzdynus
Dieninis
1 skenavimas per dieną nuolatiniam stebėjimui. Prioritetinių radinių įspėjimai, regresijų skirtumų peržiūra, PDF kiekvienam skenavimui, prieiga prie pulto.
Geriausia: didelio greičio komandos, diegiančios kelis kartus per dieną
Sukurta atitikčiai
Kiekvienas skenavimas sukuria dokumentaciją, kurios tikisi auditorius — su laiko žyma, atributuojama ir eksportuojama. Pažeidžiamumai juda per dokumentuotą sprendimo darbo procesą su pastabomis ir sprendimo datomis.
ISO/IEC 27001
Pažeidžiamumų valdymo įrodymai, dengiantys kontrolę A.8.8, su dokumentuotu sprendimo darbo procesu ir sprendimo datomis.
SOC 2
Pažeidžiamumų stebėjimo įrodymai CC7.1 ir saugumo įvykių analizė CC7.3 — būtent tai, ko reikia jūsų Type I ar Type II auditui.
OWASP ASVS
Nepriklausomi tikrinimo įrašai, suderinti su OWASP Application Security Verification Standard reikalavimais.
PCI DSS
Reguliarūs išorinio skenavimo įrodymai, demonstruojantys nuolatinį pažeidžiamumų valdymą kortelių duomenų aplinkos atitikčiai.
Privatumas pirmiausia
Skenavimo rezultatai saugomi tik mūsų platformoje — niekada nesiunčiami per trečiųjų šalių skenavimo servisus ar dalijamasi su jais. Rezultatai šifruojami ramybėje ir matomi tik jūsų įgaliotiems vartotojams.
Kodėl klientai mus renkasi
Jokio diegimo
Įveskite domeną, spustelėkite Skenuoti. Jokių agentų, jokių API raktų, jokių tarpinių serverių, jokių trečiųjų šalių paskyrų.
Jokių trečiųjų šalių skenerių
Skenavimai vykdomi mūsų platformoje, rezultatai lieka ten — niekada nesiunčiami išoriniams skenavimo servisams ar dalijamasi su trečiosiomis šalimis.
Visada aktualu
Skenuokite, kada norite — priešdiegimui, podiegimui, pagal grafiką. Jokio laukimo, kol trečioji šalis paleis jūsų testą.
Paruošta suinteresuotosioms šalims
AI vadovybės santrauka išverčia techninius pažeidžiamumus į verslo kalbą be jūsų pastangų.
Stebėkite pažangą
Skenavimų palyginimas rodo, ką pataisėte ir kas naujo — apčiuopiamas pažangos įrodymas laikui bėgant.
Vienas įrankis, pilnas vaizdas
Pakeičia atskirų įrankių krūvą — DNS skeneris, SSL tikrintuvas, antraščių analizatorius, padomenių aptikimas, paslapčių skeneris, CVE paieška.
Plataus spektro testavimas su jūsų komandos naudojamomis integracijomis
Išoriniai skenavimai yra pagrindas. Taip pat teikiame išplėstines galimybes, kurių jūsų saugumo programai reikia už automatizuoto paviršiaus skenavimo ribų.
Vidinio tinklo įsilaužimo testavimas
Autentifikuoti testai jūsų vidinėms sistemoms, tinklo segmentavimo peržiūra, belaidžio ryšio saugumas ir šoninio judėjimo vertinimai — apimantys vidinę grėsmių paviršių, kurią išoriniai skenavimai palieka nepaliestos.
Mobiliųjų programų įsilaužimo testavimas
OWASP MASVS suderinti iOS ir Android programų testai. Atvirkštinės inžinerijos analizė, vykdymo laiko instrumentavimas, saugios saugyklos ir transporto audito, IPC ir giliųjų nuorodų peržiūra.
Bilietų & webhook integracijos
Radiniai automatiškai nukreipiami į jūsų komandos bilietų sistemą. Įspėjimai pagal sunkumo lygį per webhook, el. paštą ar on-call įrankį. Automatinis pakartotinis testavimas paleidžiamas, kai pažymite bilietus kaip išspręstus.
Rankiniu būdu patikrinti radiniai
Kiekvienas radinys yra rankiniu būdu patikrinamas žmogaus prieš pasiekiant jus. Jei radinys pasirodo esąs klaidingai teigiamas, ataskaita pataisoma ir jūsų skenavimo kreditas grąžinamas.
Dažniausiai užduodami klausimai
Kas yra įsilaužimo testavimas ir ką jis apima?
Įsilaužimo testavimas (pentest) yra praktika, kai tikrinama jūsų išorinė atakos paviršius taip, kaip tai darytų tikras užpuolikas. Mūsų skaneris vykdo vieną iš trijų profilių priklausomai nuo pasirinkto gylio. Pasyvus profilis (17 modulių) atlieka tik skaitymo žvalgybą: DNS, TLS sertifikatai, HTTP antraštės, CSP, HSTS, DMARC/SPF/DNSSEC, JavaScript patikrinimas, apsauga nuo clickjacking, CSRF ir vidinių IP atskleidimas. Aktyvus profilis (44 moduliai) prideda prievadų skenavimą, padomenių išvardijimą, CMS atpažinimą, CORS konfigūracijos klaidas, WAF aptikimą, greičio ribojimą ir aktyvų injekcijų testavimą: SQL injekcija (klaidų/loginės/laikui pagrįstos aklosios), atspindimas XSS (skripto/atributo/JS/DOM kontekstai), SSTI, LFI, XXE, failų įkėlimo piktnaudžiavimas, HTTP užklausos kontrabanda (CL.TE / TE.CL / TE.TE) ir SSRF. Gilus profilis (53 moduliai) papildomai prideda numatytojo slaptažodžio testavimą prieš aptiktas administravimo skydelius, sesijų valdymo analizę, OAuth konfigūracijos klaidų testavimą, IDOR išvardijimą, GraphQL išsamią analizę, WebSocket saugumą, priklausomybių painiavą, prototipo taršos tikrinimus ir išplėstinę TLS analizę (SSLv2/DROWN, POODLE, BEAST, SWEET32, FREAK, LOGJAM).
Kiek kainuoja įsilaužimo testavimas?
Mūsų automatizuota išorinio skenavimo paslauga prasideda nuo €99 / month mėnesiniams skenavimams, €250 / month savaitiniams ir €500 / month dieniniams. Kiekvienas planas leidžia pasirinkti iš trijų skenavimo profilių (Pasyvus, Aktyvus arba Gilus) prieš kiekvieną skenavimą. Pilnos kainos pateiktos mūsų kainų puslapyje.
Kuo tai skiriasi nuo rankinio įsilaužimo testavimo?
Rankinio penetravimo testai yra projektu grįsti (paprastai €5,000–€20,000+ už išorinį testą) ir vykdomi kartą ar du per metus. Mūsų paslauga yra nuolatinė — jūsų išorinė atakos paviršius skenuojamas apibrėžtu dažniu, todėl naujos kodo pakeitimų įvestos pažeidžiamybės aptinkamos per dienas, ne mėnesius. Abu požiūriai vienas kitą papildo: nuolatinė automatizuota aprėptis kartu su periodiniu rankinio gilumo tikrinimu.
Kaip dažnai turėtume vykdyti įsilaužimo testą?
ISO 27001 ir SOC 2 reikalauja reguliaraus pažeidžiamumų valdymo — paprastai suprantama kaip mažiausiai kas mėnesį. Aktyvioms kūrimo komandoms savaitiniai skenavimai aptinka regresijas prieš tai, kai jos lieka nepataisytos visą ciklą. Dienos skenavimai tinka reguliuojamoms pramonės šakoms (PCI DSS, sveikatos priežiūra), kur bet koks naujas pažeidžiamumas išleistame build'e turi būti greitai nustatytas.
Ar skenavimo rezultatai lieka jūsų platformoje ar perduodami trečiosioms šalims?
Skenavimo rezultatai saugomi tik mūsų platformoje — niekada nenukreipiami per trečiųjų šalių skenavimo servisus ar dalijamasi su jais. Radiniai šifruojami ramybėje ir matomi tik jūsų įgaliotiems vartotojams. Tai sąmoninga architektūrinė pasirinkimas, įdiegtas į produktą nuo pirmosios dienos.
Kokiems atitikties struktūroms tai padeda?
ISO 27001 (A.8.8 pažeidžiamumų valdymas), SOC 2 (CC7.1 ir CC7.3 saugumo stebėjimui ir įvykių analizei), OWASP ASVS (aplikacijos saugumo tikrinimas) ir PCI DSS (reguliarus išorinis pažeidžiamumų skenavimas kortelių duomenų aplinkos atitikčiai). Kiekvienas skenavimas sukuria su laiko žyma eksportuojamą PDF ataskaitą su įrodymais, kurių tikisi auditorius.
Susipažinkite su konkrečiomis įsilaužimo testavimo paslaugomis
Pažeidžiamumų vertinimo paslaugos
Struktūrizuotas jūsų išorinės atakos paviršiaus vertinimas — reitinguoti radiniai, įrodymai ir sprendimo gairės.
Etinio įsilaužimo paslaugos
Autorizuotas ofensyvinis testavimas — tinklo, žiniatinklio aplikacijų ir socialinės inžinerijos, atliekamas sertifikuotų testuotojų.
Testavimas kaip paslauga (PTaaS)
Nuolatinis testavimas prenumeratos modeliu — visada aktualūs radiniai be vienkartinių sutarčių planavimo.
Išbandykite savo domene
Prisijunkite, eikite į Saugumo audito puslapį, įveskite URL — pirmieji pažeidžiamumai jau po kelių minučių.
See plans Siųsti užklausą