Služba — Bezpečnostní analýzy

Bezpečnostní analýzy webových aplikací a prezentací

Najdeme zranitelnosti dřív, než je najde někdo jiný. Audity podle OWASP, penetrační testy a srozumitelný report s konkrétními kroky k nápravě.

Domluvit audit →

Bezpečnost se nevyřeší jediným auditem, ale začít se musí někde. Děláme analýzy webových aplikací a firemních prezentací — od jednoduchého one-page webu po komplexní e-commerce platformy. Hledáme zranitelnosti, které mohou vést k úniku dat, narušení provozu nebo poškození reputace, a doručíme srozumitelný report, na který se dá reagovat.

K čemu se bezpečnostní analýza hodí

Typické situace, kdy má smysl objednat audit, místo aby se na něco prostě „doufalo, že vydrží".

Pre-launch audit nového webu

Před spuštěním nového projektu projdeme všechny vrstvy. Doporučení dostanete dřív, než cokoliv naběhne na produkci — opravy v této fázi stojí zlomek toho, co by stály po launchi.

OWASP Top 10 sken existující aplikace

Systematický průchod nejčastějších kategorií zranitelností (injection, broken auth, XSS, insecure deserialization atd.). Reporty obsahují konkrétní příklady z vaší aplikace, ne generická upozornění.

Audit kódu před akvizicí

Due diligence pohled na codebase, kterou kupujete. Identifikujeme technický dluh a bezpečnostní rizika ovlivňující cenu — nepříjemná překvapení po podpisu mizí.

Compliance (NIS2, GDPR security)

Příprava na audit nebo certifikační proces. Kontrola, že vaše bezpečnostní opatření splňují regulatorní požadavky, a doporučení, co dolaďovat pro konkrétní rámec.

Penetrační test API

Důkladné testování REST/GraphQL API včetně auth, autorizace, rate limitů, a injection vektorů. Kritické pro mobilní aplikace, integrace a B2B napojení.

Audit přihlašovacího toku

Konkrétní průchod auth flow: heslo, MFA, password reset, session management, OAuth/SSO. Statisticky nejčastější zdroj kritických chyb.

Jak audit probíhá

Standardní průběh od první schůzky po finální verifikační report.

  1. Scoping

    Probereme, co všechno má být v auditu. Vyloučíme out-of-scope, ujasníme rozsah a co od reportu očekáváte. Z toho vychází cena a časový plán.

  2. Testování

    Manuální i automatizovaný sken. Kombinujeme nástroje (Burp, OWASP ZAP, vlastní skripty) s lidským přemýšlením nad konkrétními business toky.

  3. Reporting

    Srozumitelný dokument: u každé zranitelnosti dopady, replikační kroky, návrh opravy a CVSS skóre. Žádné generické „fix XSS", ale konkrétní instrukce pro vaše vývojáře.

  4. Re-test po opravách

    Po vašich úpravách znovu projdeme nálezy a vystavíme verifikační report. Ten můžete použít jako důkaz pro klienty nebo regulátory.

S čím pracujeme

Standardní toolset pen-testera doplněný vlastními skripty pro typické business flows.

Web pen-testing

  • Burp Suite Pro
  • OWASP ZAP
  • Nuclei
  • Metasploit

Standardy

  • OWASP Top 10
  • OWASP ASVS
  • CWE
  • CVSS scoring

Code review

  • Semgrep
  • CodeQL
  • manuální audit

API testing

  • Postman / Newman
  • vlastní fuzz testy
  • GraphQL Voyager

Síťová úroveň

  • nmap
  • masscan
  • SSL Labs
  • security headers audit

Reporting

  • Markdown + PDF
  • executive summary
  • technický appendix
  • re-test verifikace

Časté otázky

To, na co se obvykle ptají klienti, než se rozhodnou audit objednat.

Kolik bezpečnostní audit stojí?

Záleží na rozsahu. Drobný marketing web 1–2 dny, e-shop 5–10 dní, komplexní SaaS 2–4 týdny. Cena vždy fixní podle dohodnutého scope.

Můžete testovat na produkci, nebo potřebujete staging?

Staging je preferovaný (riziko rozbití nul). Pokud je nutné testovat na produkci, pracujeme s explicitními pravidly: žádné DDoS, žádné mass deletes, work hours only.

Co když najdete kritickou chybu během auditu?

Okamžitě vás kontaktujeme telefonem před doručením reportu. Kritické nálezy řešíme jako incident, ne jako odložený dokument.

Vystavujete certifikát po splnění auditu?

Vystavujeme attestation letter potvrzující, že audit proběhl a kritické nálezy jsou opraveny. Není to formální certifikace (jako ISO 27001), ale je použitelný pro potřeby vašich klientů.

Pracujete i s mobilními aplikacemi?

Ano. Mobile testing pokrývá static analysis APK/IPA, network traffic, local storage, deep linking a certificate pinning. Backend řešíme jako API audit zvlášť.

Děláte i opakované audity?

Ano, často je to lepší než jednorázový audit. Quarterly mini-audit nového kódu je cenově efektivnější než velký audit jednou ročně.

Pojďme zjistit, kde má váš web slabiny

Úvodní call zdarma. Z něj vyjde rozsah auditu a fixní cena — bez závazku k pokračování.

Domluvit audit →

Pojďme spolupracovat

Popište situaci nebo požadavek a obvykle se ozveme do jednoho pracovního dne.