Toggle Side Panel

Koszyk

Brak produktów w koszyku.

altedu

Koszyk

Brak produktów w koszyku.

altedu
Close search

Testy bezpieczeństwa

altedu · Ocena podatności

Twoja aplikacja działa. Pytanie, czy jest bezpieczna.

Masz działającą aplikację, ale nie masz zespołu security i nie wiesz, czy ktoś nie wyciągnie z niej danych albo kluczy dostępu? Sprawdzamy to po ludzku: znajdujemy realne podatności, opisujemy je w raporcie, który zrozumiesz, a do tego mówimy wprost, co naprawić najpierw, z uwzględnieniem Twojego biznesu i priorytetów. To usługa przygotowana dla małych firm, jednoosobowych działalności i twórców aplikacji budowanych z udziałem AI.

Opisz aplikację → Pobierz przykładowy raport Zobacz, co sprawdzamy
Ocena podatności aplikacji webowych i mobilnych Sprawdzenie ekspozycji danych i zgodności z RODO Raport z priorytetami napraw, dopasowany do Twojego etapu
ocena_podatnosci · raport
3wysokie
3średnie
1niskie
8,1
Brak walidacji po stronie serweradowolne dane trafiają wprost do bazy, z pominięciem kontroli
7,5
Trwały XSS w panelumożliwe przejęcie sesji i utworzenie konta administratora
7,0
Adres e-mail w URLdane osobowe widoczne w historii i logach
CVSSkonfiguracja SSL/TLSnagłówki HTTPzgodność z RODOanaliza biznesowa
Dla kogo

Dla tych, którzy mają aplikację, ale nie mają działu bezpieczeństwa

Nie musisz znać się na security. Wystarczy, że pozwolisz to sprawdzić komuś, kto zna się na rzeczy i przekaże wynik językiem, który zrozumiesz.

Twórcy aplikacji budowanych z AI

Aplikacja powstała z Cursora, Lovable albo Bolta

Działa i ma użytkowników, ale kod powstał szybko, z udziałem narzędzi AI. Znamy podatności typowe dla takiego kodu: dane i klucze dostępu widoczne po stronie front-endu, pominiętą walidację po stronie serwera, brak kontroli uprawnień. Sami budujemy aplikacje w tym modelu, więc wiemy, gdzie szukać.

Małe firmy z własnym oprogramowaniem

Aplikacja nigdy nie przeszła oceny, a klienci pytają o bezpieczeństwo

Sprawdzamy aplikację webową lub mobilną i wskazujemy, gdzie jest realne ryzyko oraz co naprawić w pierwszej kolejności. Zakres dopasowujemy do Twojego budżetu, a nie do skali korporacji.

Jednoosobowe działalności i freelancerzy

Tworzysz aplikacje dla swoich klientów

Zanim oddasz produkt, sprawdzamy go pod kątem podatności. Klient dostaje aplikację bez znanych luk oraz raport, który możesz dołączyć do dokumentacji odbioru.

Przed wdrożeniem lub przeglądem

Aplikacja idzie na produkcję albo pod ocenę zewnętrzną

Ocena przed wdrożeniem produkcyjnym oraz przed przeglądem regulacyjnym lub prawnym pozwala usunąć podatności wcześniej, gdy poprawka kosztuje wielokrotnie mniej niż incydent.

Co sprawdzamy

Dwie fazy: rozpoznanie i aktywne testy

Najpierw badamy konfigurację i sposób przechowywania danych, potem aktywnie testujemy aplikację tymi samymi technikami, których używają oszuści. Każdą potwierdzoną podatność opisujemy wraz z realnym wpływem na Twój biznes. Zdajemy sobie sprawę, że nie poprawisz wszystkiego – i to jest normalne w biznesie. Często bardziej liczy się świadomość, niż idealne środowisko.

01

Rozpoznanie i konfiguracja

Domena, konfiguracja SSL/TLS i siła szyfrów, nagłówki bezpieczeństwa HTTP, mapa aplikacji.

02

Ochrona danych i RODO

Gdzie i jak przechowywane są dane oraz czy istnieje ryzyko wycieku.

03

Walidacja po stronie serwera

Czy dane z formularzy są weryfikowane na serwerze, a nie tylko w przeglądarce, którą da się ominąć.

04

Kontrola dostępu i uprawnień

Czy użytkownik nie sięgnie danych ani funkcji, do których nie ma prawa, na przykład plików innego konta.

05

Zarządzanie sesją

Czy sesja jest unieważniana po wylogowaniu i czy nie da się odtworzyć żądań po zakończeniu pracy.

06

Ekspozycja danych

Co aplikacja oddaje w odpowiedziach API, w adresach URL i w konsoli przeglądarki ponad to, co potrzebne.

07

Wstrzyknięcia i XSS

Czy dane użytkownika trafiają do widoku lub bazy bez właściwego kodowania, co otwiera drogę do przejęcia kont.

08

Wynik CVSS

Każdej potwierdzonej podatności przypisujemy obiektywny wynik krytyczności, niezależny od naszej opinii.

Priorytety, nie lista wszystkiego

Nie dostajesz polecenia „napraw czterdzieści rzeczy”

Każdą potwierdzoną podatność wyceniamy w skali CVSS, a następnie układamy według realnego wpływu na Twój biznes i etapu, na którym jesteś. Najpierw to, co grozi dostępem do danych lub przejęciem konta. Drobiazgi konfiguracyjne mogą poczekać. Rekomendacje dostosowujemy do Twojego biznesu oraz realnego czasu na wdrożenie poprawek. Bo wiemy, że można spędzać miesiące nad udoskonalaniem, ale Twoi klienci za to nie zapłacą.

Obiektywna miaraWynik CVSS dla każdej podatności, ta sama skala, której używają zespoły bezpieczeństwa.
Kolejność według wpływuNaprawy ułożone od tych, które najmocniej zagrażają danym i kontom.
Zakres pod budżet i etapRobimy tyle, ile ma sens na Twoim etapie, bez przepłacania za nadmiarowy audyt.
Gdzie jesteśmy

Więcej niż automatyczny skaner, mniej niż pełny audyt korporacyjny

Dwa skrajne rozwiązania rzadko pasują do małej firmy. My pracujemy pośrodku, tam gdzie wynik jest rzetelny, a koszt rozsądny.

Automatyczny skaner

Tani, ale generuje wiele fałszywych alarmów i nie ocenia wpływu na Twoją aplikację. Dostajesz surową listę bez potwierdzenia i bez priorytetów, a interpretację zostawia Tobie.

nasza ocena

Ocena podatności z altedu

Testy manualne wsparte narzędziami. Każda podatność potwierdzona, opisana z lokalizacją i konkretną rekomendacją naprawy, ułożona według priorytetu. Zakres i tempo dopasowane do małej firmy.

Pełny audyt korporacyjny

Szczegółowy, lecz kosztowny i czasochłonny, a wynik bywa pisany pod duże organizacje i procesy zgodności. Dla aplikacji małej firmy zwykle szerszy, niż wymaga sytuacja.

Co dostajesz

Raport, na którym da się oprzeć decyzję

01

Streszczenie kierownicze

Jedna strona dla osoby decyzyjnej: ile podatności, jak poważnych i co usunąć przed wdrożeniem produkcyjnym.

02

Szczegółowy opis każdej podatności

Lokalizacja, na czym polega, wynik CVSS oraz konkretne zalecenia naprawy.

03

Priorytety według ryzyka

Kolejność napraw oparta na wpływie na biznes, nie na przypadkowej lub alfabetycznej liście.

04

Raport pod akta i pod klienta

PDF chroniony hasłem, który przekażesz inwestorowi, klientowi albo dołączysz do dokumentacji projektu.

Jak to działa

Cztery kroki, jasny zakres

01

Konsultacja i zakres

Ustalamy, co to za aplikacja, na jakim jest etapie i jaki masz budżet. Z tego wynika zakres oceny.

02

Ocena podatności

Rozpoznanie i konfiguracja, potem aktywne testy. Każde ustalenie dokumentujemy na bieżąco.

03

Raport z priorytetami

Co znaleźliśmy, jak poważne według CVSS i co naprawić najpierw. Język, który rozumiesz.

04

Retest, opcjonalnie

Po Twoich poprawkach sprawdzamy, czy podatność została usunięta, a nie tylko ukryta.

Dlaczego altedu

Patrzymy na aplikację oczami testera, napastnika i twórcy

Podchodzimy do bezpieczeństwa jak do procesu, nie jednorazowego pokazu. Wiemy, jak wpisać je w sposób, w jaki realnie pracujesz, bez wywracania projektu.

Sami budujemy aplikacje z udziałem AI. Nasz quiz pod adresem quiz.altedu.pl działa produkcyjnie i powstał w tym modelu, więc znamy słabe punkty takiego kodu od strony twórcy, nie tylko audytora. Nasz zespół stale się rozwija, certyfikuje i doszkala, by być na bieżąco.

  • Specjalizacja w aplikacjach budowanych z AICursor, Lovable, v0, Bolt. Znamy podatności typowe dla kodu generowanego.
  • Ocena oparta na skali CVSSPriorytet podatności wynika z obiektywnej miary, nie z naszej opinii.
  • ISO/IEC 27001 Lead AuditorAdam audytuje zgodnie z normą zarządzania bezpieczeństwem informacji.
  • Dwuosobowy zespół z podziałem rólAdam Gola (jakość i bezpieczeństwo aplikacji) oraz Anna Czyrko (realizacja testów i raporty).
  • Raport gotowy pod klienta i pod przeglądPDF chroniony hasłem, streszczenie kierownicze, konkretne zalecenia naprawy.
★★★★★

„Jestem bardzo zadowolony ze współpracy z Adamem. Umówiliśmy się na m.in. analizę podatności, pełne testy bezpieczeństwa, a także testy funkcjonalne, wydajnościowe i obciążeniowe. Na koniec również retesty po poprawkach. Z całości nie mam zastrzeżeń – raporty były konkretne i od razu wiadomo było co i gdzie naprawić. Najbardziej jednak cenię sobie sam kontakt – czułem się pewnie, że każdy temat można przegadać i poszukać wspólnie rozwiązań.”

Bartosz Goliński
Bartosz Golińskitwórca musicspot.com.pl
Uczciwa pozycja

Mówimy wprost, co robimy i czego nie

Robimy

  • Ocenę podatności aplikacji webowych i mobilnych
  • Testy manualne wsparte narzędziami, z wynikiem CVSS
  • Sprawdzenie konfiguracji, ekspozycji danych i zgodności z RODO
  • Analizę kodu budowanego z udziałem AI

Nie robimy

  • ×Testów sieci i infrastruktury korporacyjnej
  • ×Działań z wykorzystaniem socjotechniki (nie w ramach tej usługi)
  • ×Formalnej certyfikacji zgodności, na przykład PCI DSS

To odrębne kompetencje i nie udajemy, że je mamy. Jeśli ich potrzebujesz, powiemy wprost, a w miarę możliwości wskażemy właściwy kierunek.

Sprawdź aplikację, zanim zrobi to ktoś niepowołany

Opisz w dwóch zdaniach, co to za aplikacja i na jakim jest etapie. Odpowiemy z oceną, czy i w jakim zakresie możemy pomóc. Jedna podatność wykorzystana przez osobę niepowołaną potrafi kosztować więcej niż cała ocena.

Opisz aplikację → Pobierz przykładowy raport

Wstępna rozmowa i orientacyjna ocena ryzyka bez opłat.

Zgłoś

Użytkownik zachowuje się niestosownie dla innych, obraża lub wyzywa.
Wiadomość zawiera reklamę lub użytkownik reklamuje produkty spoza platformy.
Treść zawiera błędy, fałszywe informacje lub spam.

Uczestnik bloku?

Potwierdź, że chcesz zablokować tego użytkownika.

Nie będzie to już możliwe:

  • Zobacz posty zablokowanych użytkowników
  • Wspomnij tego użytkownika w postach
  • Zaproś tego uczestnika do grup
  • Dodaj tego uczestnika jako znajomego

Uwaga: Ta akcja spowoduje również usunięcie tego użytkownika z połączeń i wysłanie raportu do administratora witryny. Proces ten może potrwać kilka minut.

Zgłoś

Już wcześniej zgłosiłeś .