AI-asistované testování webových aplikací, API a infrastruktury. Konzistentní metodika (OWASP ASVS Level 1 a 2), CVSSv3.1 scoring a strukturovaný report, který je srozumitelný jak vývojářům, tak vedení.
Rozsah
Testujeme webové aplikace (single-page i klasické), REST a GraphQL API a okolní infrastrukturu. Pracujeme jak v režimu black-box (bez znalosti kódu), tak grey-box s přístupem do testovacího prostředí a účtů různých rolí. Rozsah vždy definujeme v předchozím scoping workshopu — aby test pokryl reálně rizikové části aplikace, ne jen povrch.
Metodika & nástroje
Pokrýváme kontroly podle OWASP Application Security Verification Standard Level 1 a Level 2 — autentizaci, session management, přístupové kontroly, validaci vstupů, kryptografii, error handling, API bezpečnost a hlubší logické zranitelnosti (business logic, integrace třetích stran, pokročilá autorizace).
Každý finding má CVSS 3.1 vektor a numerické skóre. Klient tak přesně ví, co prioritizovat — bez subjektivních „high / low" nálepek bez zdůvodnění.
Burp Suite pro interception, fuzzing a analýzu HTTP provozu. Playwright pro automatizovanou reprodukci zranitelností v reálném prohlížeči — každé finding lze ověřit jedním skriptem.
Claude pomáhá s pokrytím rozsahu (systematicky projde všechny endpointy, role a stavy), review findingů a psaním reportu. Exploity, manuální review a falešné pozitivy zůstávají v rukou testera.
Každý finding v samostatném dokumentu, s ID formátu F-NN, CVSS vektorem, reprodukcí, dopadem a konkrétním doporučením. Findings řazené podle severity group a CVSS skóre.
Po opravách provedeme retest identifikovaných zranitelností a vystavíme updatovaný report se statusem každého findingu. Klient dostane doklad o úspěšné nápravě.
Proces
Definujeme rozsah, testovací prostředí, účty, rules of engagement a kontaktní osoby. Podepisujeme NDA a pověření k testování.
Manuální i AI-asistované testování podle ASVS L1+L2. Průběžně informujeme o kritických nálezech, aby klient mohl reagovat okamžitě.
Executive summary pro vedení, technická část pro vývojáře. Každý finding samostatně s CVSS skóre, reprodukcí a doporučením.
Po opravách ověříme nápravu a vystavíme aktualizovaný report. Volitelná prezentace výsledků vývojovému týmu.
Výstup
Parametry
| Metodika | OWASP Application Security Verification Standard, Level 1 a 2 |
|---|---|
| Scoring | CVSS 3.1 (vektor + numerické skóre u každého findingu) |
| Rozsah | Webové aplikace, REST/GraphQL API, podpůrná infrastruktura |
| Režim | Black-box, grey-box (po dohodě) |
| Nástroje | Burp Suite Professional, Playwright, vlastní skripty, Claude (AI asistence) |
| Jazyk reportu | CS nebo EN |
| Finding ID | Formát F-NN, seřazeno podle severity a CVSS |
| Retest | V ceně nebo po dohodě samostatně |
Proč AI asistence
AI asistence neznamená automatizovaný scanner. Znamená, že při stejné časové investici pokryjeme větší plochu aplikace, systematicky projdeme všechny kombinace rolí a stavů a dodáme konzistentnější, lépe zdokumentovaný report. Exploit, manuální review a rozhodnutí „je to reálné riziko?" zůstávají na zkušeném testerovi. AI je multiplikátor, ne náhrada.
Napište nám rozsah, termín a formu prostředí. Do dvou pracovních dnů pošleme nezávaznou nabídku s odhadem rozsahu a ceny.
Poptat test →