Skanowanie bezpieczeństwa stron WWW i sklepów internetowych
Sprawdzamy strony internetowe, sklepy online i aplikacje webowe pod kątem podatności zgodnie z metodyką OWASP. Wykrywamy błędy konfiguracji, podatności aplikacyjne i ryzyka, które mogą prowadzić do wycieku danych, przejęcia kont lub awarii usług.
Dlaczego warto wykonać skan bezpieczeństwa?
Każda strona internetowa podłączona do sieci jest potencjalnym celem ataku. Nie chodzi o to czy ktoś spróbuje — chodzi o to kiedy. Skanowanie bezpieczeństwa pozwala wykryć podatności zanim zrobi to atakujący.
Ochrona danych klientów
Wyciek danych osobowych to nie tylko utrata zaufania — to kary RODO do 20 mln EUR. Audyt bezpieczeństwa pozwala wykryć luki zanim dojdzie do incydentu.
Ochrona przed stratami finansowymi
Przejęcie sklepu internetowego, kradzież danych płatności, ransomware — średni koszt ataku na MŚP to 120-500 tys. zł. Koszt audytu to ułamek tej kwoty.
Zgodność z regulacjami
Regularne skanowanie bezpieczeństwa może wspierać przygotowanie organizacji do spełnienia wymagań NIS2, DORA i ISO 27001 w zakresie zarządzania ryzykiem IT.
Co sprawdzamy?
Metodyka skanowania bezpieczeństwa aplikacji webowych
Analiza pasywna
Nagłówki HTTP bezpieczeństwa (HSTS, CSP, X-Frame-Options), konfiguracja TLS/SSL, certyfikaty, cookies (HttpOnly, Secure, SameSite), wersje oprogramowania.
Testy aktywne
Testy podatności OWASP Top 10: SQL Injection, XSS, CSRF, SSRF, broken access control. Testowanie formularzy, logowania, sesji, uploadu plików, API.
Analiza ręczna
Weryfikacja logiki biznesowej, analiza panelu administracyjnego, testowanie uprawnień, przegląd konfiguracji serwera. Automatyczne skanery nie wykrywają błędów logiki — my tak.
Narzędzia
OWASP Top 10 — najczęstsze zagrożenia
Sprawdzamy każdy punkt z listy OWASP Top 10 (2021)
Broken Access Control
Brak kontroli uprawnień — użytkownik widzi dane innych użytkowników, może edytować cudze konto lub wykonywać operacje admina.
Cryptographic Failures
Słabe szyfrowanie, hasła w plaintext, brak HTTPS, nieszyfrowana transmisja danych osobowych lub płatności.
Injection
SQL Injection, XSS, Command Injection — atakujący wstrzykuje kod przez formularze, URL lub API. Może odczytać bazę danych lub przejąć serwer.
Insecure Design
Braki w architekturze bezpieczeństwa — brak walidacji po stronie serwera, logika pozwalająca na obejście zabezpieczeń.
Security Misconfiguration
Domyślne hasła, otwarte porty, listowanie katalogów, verbose error messages, brak nagłówków bezpieczeństwa.
Vulnerable Components
Przestarzałe biblioteki, frameworki i pluginy z znanymi podatnościami. WordPress, jQuery, Apache — wszystko wymaga aktualizacji.
Authentication Failures
Słabe hasła, brak 2FA, podatność na brute force, predictable session IDs, credential stuffing.
Software Integrity Failures
Niezaufane źródła kodu, brak weryfikacji integralności aktualizacji, podatności w CI/CD pipeline.
Logging & Monitoring Failures
Brak logowania zdarzeń bezpieczeństwa, brak alertów na podejrzaną aktywność, niemożność wykrycia trwającego ataku.
Server-Side Request Forgery
Atakujący zmusza serwer do wykonania żądania do wewnętrznej sieci — może odczytać dane z usług niedostępnych z zewnątrz.
Jak wygląda proces?
Konsultacja i ustalenie zakresu
Rozmawiamy o stronie, jej funkcjach, technologii i priorytetach. Ustalamy zakres testów (pasywne, aktywne, logika biznesowa) i termin.
Skanowanie pasywne
Analiza nagłówków HTTP, TLS/SSL, cookies, wersji oprogramowania, konfiguracji serwera. Bez wpływu na działanie strony.
Testy aktywne (OWASP ZAP + Burp Suite)
Automatyczne i ręczne testowanie podatności: SQL Injection, XSS, CSRF, SSRF, broken access control. Testowanie formularzy, API, logowania.
Analiza ręczna logiki biznesowej
Testowanie scenariuszy których skaner automatyczny nie wykryje: manipulacja cenami w koszyku, obejście weryfikacji, eskalacja uprawnień.
Weryfikacja wyników
Każdy wynik skanera weryfikujemy ręcznie — eliminujemy false positive, potwierdzamy realne podatności, określamy faktyczny poziom ryzyka.
Raport z rekomendacjami
Raport PDF: lista podatności z klasyfikacją ryzyka, techniczne rekomendacje naprawcze, podsumowanie dla zarządu. Dostarczany mailem + prezentacja online.
Co otrzymuje klient?
Raport PDF
Pełny opis każdej podatności
Klasyfikacja ryzyka
Niskie / Średnie / Wysokie / Krytyczne
Rekomendacje naprawcze
Konkretne kroki do naprawy
Błędy konfiguracji
Lista misconfiguration serwera
Podatne komponenty
Lista przestarzałych bibliotek
Podsumowanie dla zarządu
Nietechniczny raport dla decydentów
Dodatkowo: techniczne wskazówki dla administratora lub developera odpowiedzialnego za naprawę — z konkretnymi przykładami kodu i konfiguracji.
Dla kogo jest ta usługa?
Sklepy internetowe
WooCommerce, PrestaShop, Magento, custom. Testujemy koszyk, płatności, konta klientów, panel admina. Szczególnie ważne przy przetwarzaniu danych karty.
Strony firmowe i portale
WordPress, Joomla, Drupal, custom PHP/Node. Testujemy formularze, logowanie, CMS, API. Sprawdzamy czy admin panel nie jest wystawiony na świat.
Aplikacje webowe (SaaS)
React, Angular, Vue + API backend. Testujemy autoryzację, CORS, rate limiting, upload plików, sesje. Pełna analiza API REST/GraphQL.
Firmy przetwarzające dane
Dane osobowe, medyczne, finansowe. Audyt pod kątem RODO, bezpieczeństwa transmisji i przechowywania danych.
Organizacje pod NIS2/DORA
Firmy z sektorów objętych NIS2 lub DORA — audyt bezpieczeństwa aplikacji webowych jako element zarządzania ryzykiem IT.
Portale z logowaniem
Intranety, panele klienta, systemy CRM/ERP dostępne przez WWW. Testujemy uwierzytelnianie, sesje, uprawnienia.
Automatyczny skan vs analiza ręczna
Skanery automatyczne (OWASP ZAP, Nikto) wykrywają znane podatności techniczne. Ale nie rozumieją logiki biznesowej Twojej aplikacji. Manipulacja ceną w koszyku, obejście weryfikacji email, eskalacja uprawnień — to wykrywa tylko człowiek.
| Parametr | Skan automatyczny | Analiza ręczna (my) |
|---|---|---|
| SQL Injection / XSS | TAK | TAK + głębsza |
| Nagłówki bezpieczeństwa | TAK | TAK |
| Znane podatności komponentów | TAK | TAK |
| Logika biznesowa | NIE | TAK |
| Manipulacja cenami/danymi | NIE | TAK |
| Eskalacja uprawnień | NIE | TAK |
| Eliminacja false positive | NIE (dużo szumu) | TAK (weryfikowany każdy wynik) |
| Rekomendacje kontekstowe | Ogólne | Dopasowane do Twojej technologii |
Nasz audyt łączy oba podejścia: automatyczny skan + ręczna weryfikacja + analiza logiki biznesowej. Dzięki temu dostajesz realne wyniki bez szumu.
Najczęstsze pytania
Ile kosztuje skanowanie bezpieczeństwa strony WWW?
Cena zależy od złożoności strony. Orientacyjnie: strona firmowa bez logowania — od 1 500 zł netto, sklep internetowy z logowaniem i płatnościami — od 3 000 zł netto, aplikacja SaaS z API — wycena indywidualna. Bezpłatna konsultacja i wycena →
Ile trwa audyt bezpieczeństwa?
Skanowanie automatyczne: 1-2 dni robocze. Pełny audyt z analizą ręczną i raportem: 3-7 dni roboczych, zależnie od złożoności strony. Raport PDF dostarczamy mailem.
Czy skanowanie może uszkodzić moją stronę?
Skanowanie pasywne nie wpływa na działanie strony. Testy aktywne przeprowadzamy w uzgodnionym oknie serwisowym lub na kopii testowej. Przed testem robimy backup. Nigdy nie testujemy agresywnie bez wcześniejszego uzgodnienia.
Co to jest OWASP Top 10?
OWASP Top 10 to lista 10 najczęstszych i najgroźniejszych podatności aplikacji webowych, opracowana przez Open Web Application Security Project — globalną organizację non-profit. Obejmuje m.in. SQL Injection, XSS, Broken Access Control. Standardowy punkt odniesienia dla audytów bezpieczeństwa na całym świecie.
Czy audyt pomoże mi spełnić wymagania NIS2 lub ISO 27001?
Audyt bezpieczeństwa aplikacji webowych może wspierać przygotowanie organizacji do spełnienia wymagań NIS2, DORA i ISO 27001 w zakresie zarządzania ryzykiem IT i bezpieczeństwa aplikacji. Nie gwarantujemy pełnej zgodności prawnej — ale raport jest cennym elementem dokumentacji bezpieczeństwa.
Zamów skan bezpieczeństwa swojej strony
Bezpłatna konsultacja i wycena. Zadzwoń lub napisz — odpowiemy w 30 minut w dni robocze.
Sprawdź bezpieczeństwo swojej strony
Opisz swoją stronę — przygotujemy wycenę audytu bezpieczeństwa. Możemy też zrobić szybki skan wstępny żebyś wiedział czego się spodziewać.