WSTG – Web Security Testing Guide

WSTG (Web Security Testing Guide) je standardizovaná metodika testování bezpečnosti webových aplikací vytvořená iniciativou OWASP WSTG. Poskytuje odborníkům na kyberbezpečnost ucelený návod pro testování všech oblastí webové aplikace – od uživatelských vstupů a autentizace až po kryptografické kontroly.

V Haxoris používáme OWASP WSTG jako primární referenční rámec pro penetrační testování webových aplikací. Pomáhá zajistit, že nám nic neunikne – testujeme podle ověřených postupů, které se průběžně aktualizují s ohledem na měnící se hrozby.

Tato stránka vysvětluje naši metodiku penetračního testování vedenou WSTG: jaký rozsah pokrýváme, jak realizujeme projekty a jaké hmatatelné výstupy dostanete. Ať už se připravujete na compliance, zlepšujete bezpečnost v SDLC, nebo validujete nové releasy, penetrační test zarovnaný s WSTG přináší spolehlivé a opakovatelné výsledky.

  • Pokrývá více než 60 testovacích případů
  • Zaměřuje se na reálné scénáře zneužití
  • Zvyšuje důvěru klientů v bezpečnost jejich aplikací
OWASP WSTG – ilustrace metodiky testování bezpečnosti webové aplikace

Co obsahuje WSTG?

OWASP WSTG se skládá z jasně definovaných kategorií testování, které tvoří konzistentní framework bezpečnostního testování pro webové aplikace:

  • WSTG-INFO – Sběr informací a průzkum pro zmapování útočné plochy
  • WSTG-ATHN – Testování autentizace (login toky, MFA, správa relací)
  • WSTG-AUTHZ – Testování autorizace a řízení přístupu (včetně IDOR)
  • WSTG-INPUT – Validace vstupů a manipulace s daty (injection, XSS, SSRF, deserializace)
  • WSTG-CRYP – Kryptografie, práce s tajemstvími a ukládání citlivých údajů
  • WSTG-BUSL – Chyby business logiky a zneužití zamýšlených postupů
  • WSTG-CONF – Konfigurace a správa relací, bezpečnostní hlavičky, chybové stavy

Tyto oblasti tvoří páteř metodiky penetračního testování podle WSTG, která zaručuje komplexní pokrytí od discovery přes exploitaci až po verifikaci.

Proč používáme WSTG?

WSTG přináší konzistentní a objektivní metodiku penetračního testování, díky čemuž je ideálním rámcem pro hodnocení bezpečnosti webových aplikací. Používáme ji pro:

  • Interní i externí testování
  • Budování bezpečného softwaru už od začátku
  • Testování souladu se standardy (např. ISO, NIS2)

Zarovnáním s OWASP WSTG mapujeme nálezy do rozpoznatelných kategorií, což usnadňuje prioritizaci a nápravu. Metodika škáluje pro agilní SDLC, CI/CD i DevSecOps workflow.

Jak funguje naše metodika testování podle WSTG

  1. Scoping & modelování hrozeb – definice aktiv, rolí, vstupních bodů, abuse cases.
  2. Průzkum (WSTG-INFO) – enumerace endpointů, technologií a útočné plochy.
  3. Autentizace (WSTG-ATHN) – testy login toků, MFA, politik hesel a životního cyklu relací.
  4. Autorizace (WSTG-AUTHZ) – verifikace řízení přístupu, IDOR, vertikální/horizontální eskalace.
  5. Vstupy (WSTG-INPUT) – hledání injection, XSS, deserializace, SSRF vzorců.
  6. Krypto & úložiště (WSTG-CRYP) – posouzení TLS, práce s tajemstvími a ochrany dat v klidu/přenosu.
  7. Business logika (WSTG-BUSL) – validace workflow, obcházení, rate limiting a zneužití důvěry.
  8. Konfigurace (WSTG-CONF) – kontrola hlaviček, hardeningu, chyb a integrací třetích stran.
  9. Exploatace & důkaz – bezpečné demonstrování dopadů kontrolovanými scénáři.
  10. Validace & retest – potvrzení oprav a důkaz o uzavření nálezů.

Nástroje & techniky

Kombinujeme manuální testování s renomovanými nástroji, abychom maximalizovali pokrytí a minimalizovali false positives.

  • Interceptující proxy (Burp Suite), SAST/DAST lintry, prohlížečové devtools
  • Kontrolní seznamy OWASP a přizpůsobené WSTG playbooky
  • Bezpečné izolované laby a zodpovědné postupy exploitace

Co od nás dostanete

  • Manažerské shrnutí – přehled rizik pro vedení a netechnické stakeholdery.
  • Technický report – nálezy kategorizované dle OWASP WSTG s důkazy, CVSS a doporučeními.
  • Export do issue trackeru – CSV/JSON připravené k importu (Jira, Azure Boards apod.).
  • Remediační workshop – společné procházení náprav s developery.
  • Jeden bezplatný retest – verifikace oprav v dohodnutém okně.

Přínosy penetračního testu podle WSTG

  • Komplexní pokrytí mapované na uznávaný standard
  • Akční a reprodukovatelné nálezy s prioritizovanou nápravou
  • Zarovnání se secure SDLC, DevSecOps a cíli compliance
  • Vyšší důvěra stakeholderů a rychlejší releasy
  • Nižší riziko zneužitelných zranitelností v produkci
  • Jasné důkazy pro auditory a třetí strany

Proč si vybrat Haxoris pro penetrační testování podle WSTG?

Zkušenosti

Naši experti mají dlouholetou praxi v ofenzivní kyberbezpečnosti, red teamingu a penetračním testování.

Transparentnost

Každý krok procesu je srozumitelný a transparentní. Průběžně komunikujeme pro dosažení nejlepších výsledků.

Spolupráce

Úzce spolupracujeme s vaším týmem a poskytujeme všechny potřebné informace a výstupy.

Profesionalita

Práci provádíme na nejvyšší úrovni profesionality s důrazem na etiku a bezpečnost.

DŮVĚŘUJÍ NÁM

Logo Pixel Federation
Logo DanubePay
Logo Alison
Logo Ditec
Logo Sanaclis
Logo Butteland
Logo Piano
Logo Ultima Payments
Logo Amerge
Logo DS
Logo Wezeo
Logo DTCA

Další služby

Penetrační testování infrastruktury

Hodnocení bezpečnosti vaší interní i externí infrastruktury.

Penetrační testování cloudu

Zajistěte s námi bezpečnost svých cloudových služeb.

Penetrační testování aplikací

Hodnocení bezpečnosti vašich webových a mobilních aplikací.

Bezpečnostní kontrola IoT zařízení

Posilte bezpečnost IoT zařízení a embedded systémů.

Penetrační testování AI a LLM integrací

Zajistěte bezpečnost svých AI integrací.

Phishingový test

Otestujte, jak vaši zaměstnanci reagují na phishingové e-maily.

Školení zaměstnanců

Vzdělávejte zaměstnance v oblasti kyberbezpečnosti a hrozeb.

Nenašli jste, co hledáte?

Kontaktujte nás a prodiskutujte s námi své potřeby.

WSTG & metodika penetračního testování – FAQ

OWASP WSTG je Web Security Testing Guide – komunitou udržovaný framework bezpečnostního testování, který definuje praktickou metodiku penetračního testování webových aplikací.

Standardizuje pokrytí a reporting, snižuje slepá místa a mapuje nálezy do známých kategorií, což usnadňuje nápravu pro vývojové týmy.

WSTG je průvodce. Rozsah přizpůsobujeme vaší aplikaci, apetitu na riziko a časovému rámci, přičemž zachováváme metodologickou přísnost.

Získáte manažerské shrnutí, technické nálezy s důkazy a kroky nápravy a retest k ověření oprav.

Zabezpečte svou aplikaci – otestujte ji podle WSTG

Rezervovat