Vytvořili jste webovou aplikaci pomocí AI nástrojů, no-code/low-code řešení nebo rychlého vývoje a chcete vědět, jestli v ní nejsou zásadní bezpečnostní chyby?
Nabízím základní bezpečnostní kontrolu menší webové aplikace se zaměřením na běžná rizika podle OWASP Top 10Seznam častých a důležitých rizik webových aplikací, používaný jako orientační mapa při... Více, chyby v autentizaciOvěření totožnosti. Služba zjišťuje, zda jste opravdu ten, za koho se vydáváte. Více a autorizaciRozhodnutí, co smí přihlášený uživatel vidět nebo dělat. Více, práci se sessionObdobí po přihlášení, kdy si vás služba pamatuje jako přihlášeného uživatele. Více, vstupy, API endpointy a typické problémy aplikací vytvořených nebo výrazně urychlených pomocí AI.
Cílem je rychle a prakticky odhalit problémy, které mohou vést k úniku datSituace, kdy se citlivá nebo neveřejná data dostanou k někomu, kdo k nim neměl mít přístup. Více, obejití přístupových práv, zneužití API, převzetí účtu nebo nechtěnému vystavení citlivých informací.
Pro koho je služba vhodná
- startup nebo malý tým před spuštěním nové webové aplikace
- AI/vibe-coded MVP, které už funguje, ale bezpečnost nebyla hlavní priorita
- menší SaaS, interní nástroj, klientský portál nebo administrační rozhraní
- projekt, kde aplikaci skládalo více lidí nebo AI nástrojů bez jasného bezpečnostního návrhu
- aplikace, která pracuje s uživatelskými účty, osobními údaji, platbami, objednávkami nebo neveřejným obsahem
Co kontroluji
- přihlašování, registraci, reset heslaProces, kterým získáte zpět přístup k účtu po ztrátě hesla, telefonu nebo druhého faktoru... Více a práci se sessionObdobí po přihlášení, kdy si vás služba pamatuje jako přihlášeného uživatele. Více
- autorizaciRozhodnutí, co smí přihlášený uživatel vidět nebo dělat. Více, role, oprávněníRozhodnutí, co smí přihlášený uživatel vidět nebo dělat. Více a oddělení dat jednotlivých uživatelů
- běžná rizika podle OWASP Top 10Seznam častých a důležitých rizik webových aplikací, používaný jako orientační mapa při... Více
- vstupy, formuláře, uploady, parametry a API endpointy
- základní konfiguraci bezpečnostních hlaviček, cookiesMalý údaj uložený v prohlížeči. Web si díky němu pamatuje přihlášení, nastavení nebo s... Více, CORS a TLS
- veřejně dostupné části aplikace a nechtěně vystavené informace
- typické chyby AI-generovaného nebo narychlo poskládaného kódu
Rozsah služby
- jedna menší webová aplikace
- jedna doména nebo jedno testovací/produkční prostředí
- až 3 uživatelské role
- až 5 hlavních aplikačních toků
- základní kontrola API používaného aplikací
Co dostanete
- prioritizovaný report nálezů
- srozumitelné shrnutí hlavních rizik
- konkrétní doporučení k nápravě
- rozlišení mezi kritickými problémy a méně důležitými zlepšeními
- závěrečnou konzultaci k výsledkům kontroly
Dodání
Typické dodání je do 7 pracovních dnů od potvrzení rozsahu a předání potřebných přístupů.
U větších nebo složitějších aplikací je možné domluvit rozšířený bezpečnostní test individuálně.