Услуги за пентест — Мислим като атакуващите

Повечето пентест доклади са автоматизирани сканирания с лого на корицата. Нашите са ръчни, състезателни ангажименти, ръководени от старши консултанти, които свързват уязвимости в атакуващи вериги, ескалират привилегии и демонстрират реално бизнес въздействие. Тестването, което открива какво скенерите пропускат.

Безплатна консултация Вижте нашата методология
Работна станция на специалист по киберсигурност с множество монитори, показващи визуализации на офенсивна сигурност в тъмна среда
500+Извършени пентеста
14Държави
OSCPСертифициран екип
€0Пробиви при клиенти

6 вида пентест, които предоставяме

Всяка атакуема повърхност изисква различен подход. Ние сме специалисти във всички.

Пентест на уеб приложения

OWASP Top 10, грешки в бизнес логиката, заобикаляне на автентикация, управление на сесии и инжекционни атаки. Тестваме като атакуващ, който познава приложението ви отвътре.

OWASP Top 10Бизнес логикаAuth Bypass
От €5 000

Пентест на API

REST, GraphQL, SOAP и WebSocket API. Търсим BOLA, нарушена автентикация, масово присвояване, SSRF и излагане на данни, които автоматизираните инструменти постоянно пропускат.

REST & GraphQLBOLABroken Auth
От €4 000

Мрежови пентест

Външно и вътрешно мрежово тестване. Изброяваме, експлоатираме, движим се странично и ескалираме — демонстрираме пълни вериги на атака от първоначален достъп до домейн администратор.

Външен & ВътрешенLateral MovementAD атаки
От €4 000

Пентест на мобилни приложения

iOS и Android приложения. Обратен инженеринг, прихващане на API, анализ на локално хранилище, заобикаляне на certificate pinning и манипулация по време на изпълнение.

iOS & AndroidReverse EngineeringAPI Interception
От €6 000

Облачен пентест

AWS, Azure и GCP среди. Експлоатираме грешни конфигурации, прекалено разрешителни IAM политики, изложени хранилища и пътища за ескалация на привилегии, уникални за облака.

AWSAzureGCPIAM Escalation
От €5 000

Пентест на SaaS платформи

Тестване на изолация при множество наематели, ескалация на привилегии между тенанти, логика на плащания и специфични за платформата вектори на атака, които заплашват цялата ви клиентска база.

Multi-TenantIsolation TestingPrivilege Escalation
От €5 000
Преглед на методологията за пентест, покриваща уеб, API, мрежови, мобилни, облачни и SaaS тестове

Как работи нашият пентест

Структурирана 5-фазна методология, която доставя приложими резултати за 14 дни.

Фаза 1Ден 1

Обхватиране и правила на ангажимента

Определяме обхвата, целите на тестването, правилата за ангажимент и комуникационните протоколи. Знаете точно какво ще тестваме, как ще го тестваме и какво е извън обхвата. Без неясноти.

Фаза 2Дни 2-3

Разузнаване и откриване

Пасивно и активно разузнаване за картографиране на атакуемата ви повърхност. Изброяваме поддомейни, идентифицираме технологии, откриваме скрити крайни точки и изграждаме изчерпателен профил на целта, преди да бъде опитан и един експлойт.

Фаза 3Дни 4-8

Експлоатация и ескалация на привилегии

Ядрото на ангажимента. Експлоатираме откритите уязвимости, свързваме ги заедно, ескалираме привилегии и се движим странично през вашата среда — имитирайки как истински атакуващ би действал.

Фаза 4Дни 9-10

Пост-експлоатация и демонстрация на въздействие

Демонстрираме реалното бизнес въздействие на всеки път за атака. Това означава показване на данните, до които атакуващият може да получи достъп, системите, които може да контролира, и щетите, които може да причини — с доказателства, които вашият ръководен екип ще разбере.

Фаза 5Дни 11-14

Докладване и подкрепа при отстраняване

Получавате цялостен доклад с резюме за ръководството, подробни технически констатации, доказателства от proof-of-concept, рейтинги на риска и приоритизирани стъпки за отстраняване. Провеждаме среща, на която обясняваме всяка констатация пред вашия екип.

Екип за пентест, анализиращ открити уязвимости и вериги за атака

Защо компаниите избират Atlant Security за пентест

Какво отличава истинския пентест от скъп доклад на скенер.

Ръчно тестване, не доклади от скенери

Всяка констатация е ръчно открита, валидирана и експлоатирана от човек. Използваме инструменти за подпомагане, не за заместване на експертизата. Автоматизираните скенери пропускат грешки в бизнес логиката, верижни атаки и уязвимостите, които реално водят до пробиви.

Старши тестери на всеки ангажимент

OSCP и OSEP сертифицирани консултанти ръководят всеки тест. Никога не продаваме с опитни и не назначаваме начинаещи. Човекът, който определя обхвата на проекта, е човекът, който тества системите ви.

Фиксирана цена за 24 часа

Знаете точната цена преди да започнем. Без почасово таксуване, без разширяване на обхвата, без изненадващи фактури. Определяме обхвата, калкулираме цената и доставяме — точно както е уговорено.

Фокус върху бизнес въздействието

Не просто изброяваме CVE. Показваме как уязвимостта се превръща в бизнес риск — какви данни са изложени, какви системи могат да бъдат компрометирани и какво би струвало на компанията ви, ако атакуващ я намери пръв.

Безплатно повторно тестване

След като екипът ви отстрани констатациите ни, ние повторно тестваме всяка уязвимост без допълнителна такса. Получавате чист доклад, потвърждаващ че поправките работят — не само обещание, че би трябвало.

100% независими от доставчици

Никога не продаваме продукти за сигурност, само експертиза. Нашите препоръки служат на вашите интереси — не на квотата за продажби на софтуерен доставчик. Когато препоръчаме инструмент, то е защото е най-добрият вариант, не защото получаваме комисионна.

Структуриран процес на пентест от разузнаване до докладване

Кой се нуждае от пентест?

Ако нещо от следните ви звучи познато, време е да тествате защитите си.

Подготвяте се за SOC 2, ISO 27001, PCI DSS или HIPAA съответствие и имате нужда от доклад от пентест
Клиент, партньор или инвеститор иска доказателство, че платформата ви е тествана за сигурност
Пуснахте ново приложение или голяма нова функционалност и не сте го тествали за уязвимости
Последният ви пентест беше преди повече от 12 месеца и кодовата ви база се е променила значително
Мигрирахте в облака и не сте сигурни дали новата ви инфраструктура е конфигурирана сигурно
Компанията ви обработва чувствителни данни (финансови, здравни, лични) и трябва да докажете, че са защитени
Никога не сте правили пентест и не знаете до какво би могъл да получи достъп атакуващ днес
Вашият застраховател по кибер застраховка изисква годишен пентест за подновяване на полицата

Цени за пентест

Прозрачни, фиксирани цени. Без почасово таксуване. Оферта в рамките на 24 часа.

Вид тестванеТипичен обхватПродължителностНачална цена
Уеб приложение1 приложение, всички роли7-10 дни€5 000
API тестванеДо 50 крайни точки5-7 дни€4 000
Мрежа (Външна)Външни IP диапазони5-7 дни€4 000
Мрежа (Вътрешна)Вътрешна мрежа + AD7-10 дни€5 000
Мобилно приложениеiOS или Android + API10-14 дни€6 000
Облачна инфраструктураAWS / Azure / GCP среда7-10 дни€5 000
SaaS платформаMulti-tenant платформа10-14 дни€5 000

Всички ангажименти включват безплатно повторно тестване. Комбинирани обхвати получават отстъпки за обем. Свържете се за индивидуална оферта.

Доверен партньор за пентест на предприятия от финтех, здравеопазване, SaaS и държавния сектор

Индустрии, в които извършваме пентест

Финтех и финансови услуги
Здравеопазване и науки за живота
SaaS и софтуерни компании
Държавни доставчици
Портфолия на частен капитал
Адвокатски кантори и професионални услуги
Производство и OT/ICS
Електронна търговия и търговия на дребно

Спрете да се чудите дали системите ви са уязвими. Разберете.

Запазете безплатен 30-минутен разговор за обхватиране. Ще обсъдим вашата среда, ще определим правилния обхват на тестване и ще ви дадем оферта с фиксирана цена в рамките на 24 часа. Без търговска презентация — само честна оценка на това, което трябва да бъде тествано и колко ще струва.

Безплатна консултация alexander@atlantsecurity.com

Често задавани въпроси за пентест

Каква е разликата между пентест и сканиране за уязвимости?
Сканирането за уязвимости е автоматизиран инструмент, който проверява за известни слабости. Пентестът е ръчен, състезателен ангажимент, при който опитен тестер активно експлоатира уязвимости, свързва ги в атакуващи вериги, ескалира привилегии и демонстрира реално бизнес въздействие.
Колко струва пентест?
Цените започват от €4 000 за фокусиран API или мрежов тест. Тестването на уеб приложения започва от €5 000, мобилни от €6 000, а облачни от €5 000. Предоставяме оферта с фиксирана цена в рамките на 24 часа — без почасово таксуване или изненади.
Колко време отнема пентестът?
Типичен ангажимент отнема 10-14 работни дни от стартирането до доставката на финалния доклад. Активната фаза на тестване е обикновено 5-7 дни, с допълнително време за обхватиране, докладване и подкрепа при отстраняване.
Пентестът ще повреди ли системите ни?
Не. Използваме контролирани техники, създадени да идентифицират уязвимости без да причиняват щети. Договаряме правила за ангажимента преди началото на тестването и координираме с вашия екип. В над 500 ангажимента никога не сме причинявали непланирано прекъсване.
Колко често трябва да провеждаме пентест?
Минимум веднъж годишно и след всяка голяма промяна в инфраструктурата, нова версия на приложение или значителна актуализация на кода. Много рамки за съответствие (PCI DSS, SOC 2, ISO 27001) изискват годишен тест. Организации с висок риск тестват на тримесечие.
Какво получаваме в края на ангажимента?
Цялостен доклад с резюме за ръководството, подробни технически констатации с proof-of-concept доказателства, рейтинги на риска, съпоставени с бизнес въздействието, и стъпка по стъпка насоки за отстраняване. Плюс среща за преглед на всяка констатация.
Предлагате ли повторно тестване?
Да. Всеки ангажимент включва безплатно повторно тестване. След като вашият екип отстрани констатациите, ние проверяваме дали поправките са ефективни без допълнителна такса.
Какви сертификати притежават вашите тестери?
Нашите тестери притежават OSCP, OSEP, CISSP и CISA сертификати. Всеки ангажимент се ръководи от старши консултант с години практически опит в офенсивната сигурност — никога не назначаваме младши тестери.