WSTG – Web Security Testing Guide

WSTG (Web Security Testing Guide) je štandardizovaná metodika testovania bezpečnosti webových aplikácií, vytvorená iniciatívou OWASP WSTG. Má poskytnúť odborníkom na kyberbezpečnosť ucelený návod na testovanie všetkých oblastí webovej aplikácie – od vstupov používateľa, cez autentifikáciu, až po kryptografické kontroly.

V Haxoris používame OWASP WSTG ako primárny referenčný rámec pre penetračné testovanie webových aplikácií. Pomáha zabezpečiť, že nič neunikne pozornosti – testujeme podľa overených postupov, ktoré sa priebežne aktualizujú vzhľadom na meniace sa hrozby.

Táto stránka vysvetľuje našu metodiku penetračného testovania vedenú WSTG: aký rozsah pokrývame, ako realizujeme projekty a aké hmatateľné výstupy dostanete. Či už sa pripravujete na compliance, zlepšujete bezpečnosť v SDLC, alebo validujete nové releasy, penetračný test zarovnaný s WSTG prináša spoľahlivé a opakovateľné výsledky.

  • Pokrýva viac ako 60 testovacích prípadov
  • Zameriava sa na reálne scenáre zneužitia
  • Zvyšuje dôveru klientov v bezpečnosť ich aplikácií
OWASP WSTG – ilustrácia metodiky testovania bezpečnosti webovej aplikácie

Čo obsahuje WSTG?

OWASP WSTG sa skladá z jasne definovaných kategórií testovania, ktoré tvoria konzistentný framework bezpečnostného testovania pre webové aplikácie:

  • WSTG-INFO – Zber informácií a prieskum na zmapovanie útokovej plochy
  • WSTG-ATHN – Testovanie autentifikácie (login toky, MFA, správa relácií)
  • WSTG-AUTHZ – Testovanie autorizácie a riadenia prístupu (vrátane IDOR)
  • WSTG-INPUT – Validácia vstupov a manipulácia s dátami (injection, XSS, SSRF, deserializácia)
  • WSTG-CRYP – Kryptografia, narábanie s tajomstvami a ukladanie citlivých údajov
  • WSTG-BUSL – Chyby biznis logiky a zneužitie zamýšľaných postupov
  • WSTG-CONF – Konfigurácia a správa relácií, bezpečnostné hlavičky, chybové stavy

Tieto oblasti tvoria chrbticu metodiky penetračného testovania podľa WSTG, ktorá zaručuje komplexné pokrytie od discovery po exploitáciu a verifikáciu.

Prečo používame WSTG?

WSTG prináša konzistentnú a objektívnu metodiku penetračného testovania, vďaka čomu je ideálnym rámcom na hodnotenie bezpečnosti webových aplikácií. Používame ju na:

  • Interné aj externé testovanie
  • Budovanie bezpečného softvéru už od začiatku
  • Testovanie súladu so štandardmi (napr. ISO, NIS2)

Zarovnaním s OWASP WSTG mapujeme nálezy do rozpoznateľných kategórií, čo uľahčuje prioritizáciu a nápravu. Metodika škáluje pre agilný SDLC, CI/CD aj DevSecOps workflowy.

Ako funguje naša metodika testovania podľa WSTG

  1. Scoping & modelovanie hrozieb – definícia aktív, rolí, vstupných bodov, abuse cases.
  2. Prieskum (WSTG-INFO) – enumerácia endpointov, technológií a útokovej plochy.
  3. Autentifikácia (WSTG-ATHN) – testy login tokov, MFA, politík hesiel a životného cyklu relácií.
  4. Autorizácia (WSTG-AUTHZ) – verifikácia riadenia prístupu, IDOR, vertikálne/horizontálne eskalácie.
  5. Vstupy (WSTG-INPUT) – hľadanie injection, XSS, deserializácie, SSRF vzorcov.
  6. Krypto & úložisko (WSTG-CRYP) – posúdenie TLS, narábania s tajomstvami a ochrany dát v pokoji/prenose.
  7. Biznis logika (WSTG-BUSL) – validácia workflowov, obchádzok, rate limitov a zneužitia dôvery.
  8. Konfigurácia (WSTG-CONF) – kontrola hlavičiek, hardeningu, chýb a integrácií tretích strán.
  9. Exploatácia & dôkaz – bezpečné demonštrovanie dopadov kontrolovanými scenármi.
  10. Validácia & retest – potvrdenie opráv a dôkaz o uzavretí nálezov.

Nástroje & techniky

Kombinujeme manuálne testovanie s renomovanými nástrojmi, aby sme maximalizovali pokrytie a minimalizovali false positives.

  • Interceptujúce proxy (Burp Suite), SAST/DAST lintry, prehliadačové devtools
  • Kontrolné zoznamy OWASP a prispôsobené WSTG playbooky
  • Bezpečné izolované laby a zodpovedné postupy exploitácie

Čo od nás dostanete

  • Manažérske zhrnutie – prehľad rizík pre vedenie a netechnických stakeholderov.
  • Technický report – nálezy kategorizované podľa OWASP WSTG s dôkazmi, CVSS a odporúčaniami.
  • Export do issue trackeru – CSV/JSON pripravené na import (Jira, Azure Boards a pod.).
  • Remediačný workshop – spoločné prechádzanie náprav s developermi.
  • Jeden bezplatný retest – verifikácia opráv v dohodnutom okne.

Prínosy penetračného testu podľa WSTG

  • Komplexné pokrytie mapované na uznávaný štandard
  • Akčné a reprodukovateľné nálezy s prioritizovanou nápravou
  • Zarovnanie so secure SDLC, DevSecOps a cieľmi compliance
  • Vyššia dôvera stakeholderov a rýchlejšie releasy
  • Nižšie riziko zneužiteľných zraniteľností v produkcii
  • Jasné dôkazy pre auditorov a tretie strany

Prečo si vybrať Haxoris pre penetračné testovanie podľa WSTG?

Skúsenosti

Naši experti majú dlhoročnú prax v ofenzívnej kyberbezpečnosti, red teamingu a penetračnom testovaní.

Transparentnosť

Každý krok procesu je zrozumiteľný a transparentný. Priebežne komunikujeme, aby sme dosiahli najlepšie výsledky.

Spolupráca

Úzko spolupracujeme s vaším tímom a poskytujeme všetky potrebné informácie a výstupy.

Profesionalita

Prácu vykonávame na najvyššej úrovni profesionality s dôrazom na etiku a bezpečnosť.

DÔVERUJÚ NÁM

Logo Pixel Federation
Logo DanubePay
Logo Alison
Logo Ditec
Logo Sanaclis
Logo Butteland
Logo Piano
Logo Ultima Payments
Logo Amerge
Logo DS
Logo Wezeo
Logo DTCA

Ďalšie služby

Penetračné testovanie infraštruktúry

Hodnotenie bezpečnosti vašej internej a externej infraštruktúry.

Penetračné testovanie cloudu

Zabezpečte s nami bezpečnosť vašich cloudových služieb.

Penetračné testovanie aplikácií

Hodnotenie bezpečnosti vašich webových a mobilných aplikácií.

Bezpečnostná kontrola IoT zariadení

Posilnite bezpečnosť IoT zariadení a embedded systémov.

Penetračné testovanie AI a LLM integrácií

Zaistite bezpečnosť vašich AI integrácií.

Phishingový test

Otestujte, ako vaši zamestnanci reagujú na phishingové e-maily.

Školenia zamestnancov

Vzdelávajte zamestnancov v oblasti kyberbezpečnosti a hrozieb.

Nenašli ste, čo hľadáte?

Kontaktujte nás a prediskutujte s nami svoje potreby.

WSTG & metodika penetračného testovania – FAQ

OWASP WSTG je Web Security Testing Guide - komunitou udržiavaný framework bezpečnostného testovania, ktorý definuje praktickú metodiku penetračného testovania webových aplikácií.

Štandardizuje pokrytie a reporting, znižuje slepé miesta a mapuje nálezy do známych kategórií, čo uľahčuje nápravu pre vývojové tímy.

WSTG je sprievodca. Rozsah prispôsobujeme vašej aplikácii, apetítu na riziko a časovému rámcu, pričom zachovávame metodologickú prísnosť.

Získate manažérske zhrnutie, technické nálezy s dôkazmi a krokmi nápravy a retest na overenie opráv.

Zabezpečte svoju aplikáciu – otestujte ju podľa WSTG

Rezervovať