Application Security

Penetrační testy webových aplikací & API

Provádíme hloubkové penetrační testy webových aplikací a API dle OWASP. Odhalíme chyby v aplikační logice, autorizaci, autentizaci i práci s daty a dodáme vám jasné priority oprav včetně podpory při nápravě.

Nezávazná konzultace zdarma Ukázka reportu
Penetrační testy aplikací v Integra
1000+
testovaných webových aplikací
7,14
nálezů na projekt (průměr)
10+
specializovaných pentesterů
65 %
tvoří web & API testy
  • Web & API dle OWASP WSTG
  • Mobilní aplikace (iOS, Android)
  • Napojení na identity (OAuth2, SSO, JWT)
OWASP WSTG OWASP MASTG API Security IDOR Business Logic
Scope of testing

Jaké oblasti penetrační testy aplikací pokrývají?

Testujeme webové aplikace, API rozhraní, mobilní aplikace (iOS, Android) i desktopové aplikace. Zaměřujeme se na chyby v aplikační logice, autentizaci, autorizaci, konfiguraci a práci s citlivými daty dle metodik OWASP WSTG, OWASP MASTG a best practices pro desktopové aplikace.

Webové aplikace & API

  • Sběr informací – frameworky, verze knihoven, skryté endpointy
  • Konfigurace – admin rozhraní, HTTP metody, chybné nastavení
  • Autentizace – brute-force, 2FA, JWT, session fixation
  • Autorizace – IDOR, privilege escalation
  • Validace vstupů – SQLi, XSS, LFI/RFI, Command Injection
  • Správa relací – session hijacking, cookies
  • Business logika – změny cen, obcházení limitů

Mobilní aplikace (iOS & Android)

  • Nezabezpečené ukládání dat – SQLite, Keychain, SharedPreferences
  • Síťová komunikace – MITM, TLS, SSL pinning
  • Autentizace – tokeny, slabá 2FA, session hijacking
  • Autorizace – manipulace s rolemi, privilege escalation
  • Reverse engineering – extrakce API klíčů
  • Ochrana integrity – repackaging, injektáž kódu
  • Business logika – fraud, zneužití slev

Desktopové aplikace

  • Statická analýza binárního kódu
  • Analýza komunikace s API / backendem
  • Ukládání citlivých dat lokálně
  • Obcházení licencí a ochranných mechanismů
  • Manipulace s aktualizačním procesem
  • Reverse engineering a modifikace kódu
  • Injektáž škodlivého kódu

Chcete vědět, jak je vaše aplikace zabezpečená?

Nezávazná konzultace zdarma – ozveme se do 24 hodin.

Domluvit konzultaci
Data z 218 projektů

Nejčastější zranitelnosti webových aplikací

Na základě 1 619 nálezů z penetračních testů v roce 2025.

#1

Broken Access Control

Chybějící nebo nesprávné kontroly přístupu – IDOR, chybějící autorizace, privilege escalation.

OWASP A01:2025
15.0%
#2

Security Misconfiguration

Výchozí hesla, exponované debug endpointy, chybějící bezpečnostní hlavičky, verbose error messages.

OWASP A02:2025
12.2%
#3

Software Supply Chain Failures

Kompromitované knihovny, zastaralé závislosti, typosquatting útoky v ekosystému npm/pip/Maven.

OWASP A03:2025
10.9%
#4

Cryptographic Failures

Slabé šifrování, HTTP namísto HTTPS, hardcoded API klíče, zastaralé hash algoritmy.

OWASP A04:2025
9.5%
#5

Injection

SQL injection, XSS, command injection – stále přítomné v legacy systémech bez moderních frameworků.

OWASP A05:2025
8.1%
Přístup k testování

Typy přístupů penetračních testů

Volba přístupu závisí na vašich cílech, dostupném čase a míře detailu. Nejčastěji klienti volí Grey Box.

Black Box

Pohled externího útočníka

Testování probíhá bez znalosti vnitřního fungování aplikace. Tester útočí výhradně zvenčí, bez dokumentace a přístupu ke kódu. Vhodné pro simulaci reálného útoku z internetu.

PřístupŽádné informace
NáročnostNízká
Vhodné proVeřejná rozhraní
⚡ Simulace útoku public interface
Grey Box

Optimální poměr hloubky a rozsahu

Kombinuje externí pohled útočníka s částečnými informacemi o systému. Tester má k dispozici účty, dokumentaci a součinnost. Prověřujeme aplikaci bez autentizace i po přihlášení.

PřístupÚčty, dokumentace
NáročnostStřední
Vhodné proWeb, API, SaaS
⭐ Nejčastější volba klientů
White Box

Kompletní přístup ke kódu

Kromě přístupu jako u Grey Box má tester k dispozici i zdrojové kódy. Umožňuje odhalit logické chyby, slabiny v implementaci bezpečnosti a zranitelnosti neviditelné zvenčí.

PřístupZdrojový kód, účty
NáročnostVysoká
Vhodné proKritické systémy
🔬 Nejdůkladnější analýza
Data z 218 projektů

Nejčastější zranitelnosti webových aplikací

Na základě 1 619 nálezů z penetračních testů v roce 2024. Tyto kategorie pokrývají více než 55 % všech identifikovaných zranitelností.

#1

Broken Access Control

Chybějící nebo nesprávné kontroly přístupu – IDOR, chybějící autorizace, privilege escalation.

OWASP A01:2025
15.0%
#2

Security Misconfiguration

Výchozí hesla, exponované debug endpointy, chybějící bezpečnostní hlavičky, verbose error messages.

OWASP A02:2025
12.2%
#3

Software Supply Chain Failures

Kompromitované knihovny, zastaralé závislosti, typosquatting útoky v ekosystému npm/pip/Maven.

OWASP A03:2025
10.9%
#4

Cryptographic Failures

Slabé šifrování, HTTP namísto HTTPS, hardcoded API klíče, zastaralé hash algoritmy.

OWASP A04:2025
9.5%
#5

Injection

SQL injection, XSS, command injection – stále přítomné v legacy systémech bez moderních frameworků.

OWASP A05:2025
8.1%
Z praxe

Reálné nálezy z penetračních testů

Anonymizované ukázky kritických nálezů z testování webových a mobilních aplikací.

HIGH · 6.5 IDOR – přístup k datům 10 000+ organizací
SaaS platforma
Grey Box
Node.js · GraphQL · MongoDB
⚡ Attack Chain
  1. Enumerace API endpointů
  2. IDOR v /api/users/{id}/data
  3. Masový únik dat
  4. Absence rate limitingu
💡 Dopad & náprava
  • Server-side autorizace
  • Rate limiting
  • Auditní logování
GraphQL Node.js OWASP A01 CWE-639
HIGH · 8.1 Race Condition – multiplikace transakcí
Fintech
Black Box
Java · REST · PostgreSQL
⚡ Attack Chain
  1. Současné requesty na endpoint
  2. Chybějící locking
  3. Duplicitní finanční operace
💡 Dopad & náprava
  • Atomic operace
  • Server-side locking
  • Idempotentní API
REST Finance OWASP A10 CWE-362
Časté otázky

Často kladené otázky o pentestech aplikací

Nejčastější dotazy klientů před zahájením spolupráce.

Co je penetrační test webové aplikace?

Penetrační test je řízený útok, který simuluje reálné chování útočníků s cílem odhalit zranitelnosti dříve, než je někdo zneužije.

Kolik stojí penetrační test webové aplikace?

Nejčastěji se cena pohybuje v rozmezí 80 000 – 200 000 Kč podle rozsahu a složitosti aplikace.

Jak dlouho trvá celý projekt penetračního testu?

Od první domluvy po finální report počítejte zhruba 4–6 týdnů.

1) Příprava & scope~ 2–3 týdny
2) Realizace testu~ 1–2 týdny
3) Report & konzultace~ 1 týden

Jak často dělat penetrační test aplikace?

Doporučujeme minimálně 1× ročně a po významných změnách aplikace.

Co dostanu jako výstup z penetračního testu?

  • detailní popis zranitelností,
  • scénáře zneužití,
  • CVSS hodnocení rizik,
  • doporučení k nápravě,
  • manažerské shrnutí.

Je penetrační test povinný kvůli NIS2, DORA nebo ISO 27001?

Formálně ne vždy, ale v praxi je penetrační test standardním důkazem řízení kybernetických rizik pro NIS2, DORA i ISO 27001.

Začněte ještě dnes

Zjistěte, jak je vaše aplikace skutečně zabezpečená

Domluvte si nezávaznou konzultaci s naším bezpečnostním týmem. Zhodnotíme vaši situaci a navrhneme optimální rozsah penetračního testu.

Konzultace zdarma
Nabídka do 24 hodin
NDA od prvního kontaktu
Nezávazná konzultace zdarma
Nebo volejte +420 604 200 062 · security@integra.cz

IČO: 24216941 / DIČ: CZ24216941

U Sluncové 666/12a
186 00, Praha 8

Contracting IT specialistů

Penetrační testy

Vývoj SW na míru

Kariéra

Naši klienti

Více o nás

Integra Czech Republic, s.r.o
info@integra.cz
+420 214 214 602

© 2026 ALL RIGHTS RESERVED

Facebook Instagram Linkedin

Etický kodex INTEGRA

Žadost o vzorovou zprávu výsledků z testu