Offensive Security

Pentest és
sérülékenységvizsgálat

Q: Mi a különbség a pentest és a sérülékenységvizsgálat között?

A sérülékenységvizsgálat (vulnerability scan) automatizált eszközökkel azonosítja az ismert gyengeségeket. A penetrációs teszt ennél tovább megy: szakértő manuálisan, valós támadói gondolkodással próbálja kihasználni a sérülékenységeket, hogy kiderüljön, mi a tényleges kockázat.

OWASP-alapú penetrációs teszt valós támadói gondolkodással — web, hálózat és alkalmazás. Részletes, priorizált jelentés, amely az ISO 27001 A.8.8 és A.8.29 kontrollok teljesítését is támogatja.

Kérj pentest árajánlatot Pentest típusok

Alapok

Pentest vs. sérülékenységvizsgálat

A sérülékenységvizsgálat automatizált eszközökkel térképezi fel az ismert gyengeségeket — gyors, széles lefedettségű, de nem mondja meg, mit lehet ezekkel valójában kezdeni. A penetrációs teszt (pentest) ennél tovább megy: szakértő manuálisan, valós támadói gondolkodással próbálja kihasználni a sérülékenységeket, hogy kiderüljön a tényleges üzleti kockázat — mihez fér hozzá egy támadó, és milyen láncolaton keresztül.

A kettő nem kizárja, hanem kiegészíti egymást: a rendszeres vizsgálat folyamatos lefedettséget ad, az időszakos pentest pedig mélységet és valódi kockázatképet.

Hatókör

Pentest típusok

Web alkalmazás pentest — OWASP Top 10 alapon (injection, hibás hitelesítés, hozzáférés-vezérlés, XSS stb.), a publikus és bejelentkezés mögötti funkciókra egyaránt.

Hálózati (network) pentest — külső perspektívából (mit lát egy internetes támadó) és belső perspektívából (mit tehet egy bejutott támadó vagy rosszindulatú felhasználó).

Alkalmazás- és API-pentest — vastagkliens, mobil és API-felületek célzott vizsgálata, az autentikáció és jogosultságkezelés mélységi tesztelésével.

Megfelelés

Pentest és ISO 27001 (A.8.8 / A.8.29)

Az ISO 27001:2022 két kontrollja közvetlenül érinti a tesztelést: az A.8.8 a technikai sérülékenységek kezelését, az A.8.29 pedig a biztonsági tesztelést írja elő a fejlesztés és átvétel során. Egy dokumentált pentest bizonyítható módon támogatja ezek teljesítését — és ugyanezt várja el a NIS2 kockázatkezelési követelménye is.

Eredmény

Mit kapsz a végén?

Vezetői összefoglaló — érthető kockázatkép döntéshozóknak.
Súlyozott sérülékenység-lista — kockázati besorolással (kritikus → alacsony).
Kihasználhatóság bizonyítása — reprodukálható lépésekkel.
Priorizált javítási javaslatok — mit, milyen sorrendben érdemes javítani.

Gyakori kérdések

Pentest — amit a legtöbben kérdeznek.

Mi a különbség a pentest és a sérülékenységvizsgálat között?

A sérülékenységvizsgálat automatizált eszközökkel azonosítja az ismert gyengeségeket. A penetrációs teszt ennél tovább megy: szakértő manuálisan, valós támadói gondolkodással próbálja kihasználni a sérülékenységeket, hogy kiderüljön, mi a tényleges kockázat.

Milyen típusú pentestet kínál az ABSEC?

Web alkalmazás pentest (OWASP Top 10 alapon), hálózati (network) pentest belső és külső perspektívából, valamint alkalmazás- és API-pentest. A hatókört a rendszer és a kockázatok alapján szabjuk.

Hogyan kapcsolódik a pentest az ISO 27001-hez?

Az ISO 27001:2022 A.8.8 (technikai sérülékenységek kezelése) és A.8.29 (biztonsági tesztelés a fejlesztés és átvétel során) kontrollok elvárják a rendszeres sérülékenységkezelést és tesztelést. A pentest ezeknek a bizonyítható teljesítését támogatja.

Mit tartalmaz a pentest jelentés?

Vezetői összefoglalót, a feltárt sérülékenységek súlyozott listáját (kockázati besorolással), a kihasználhatóság bizonyítását, valamint konkrét, priorizált javítási javaslatokat.

Kezdjük el

Tudni szeretnéd, hol a gyenge pont?

Kérj árajánlatot — megbeszéljük a hatókört, és valós támadói szemszögből vizsgáljuk a rendszeredet.

Kérj pentest árajánlatot +36 70 328 0000

Pentest éssérülékenységvizsgálat