Jak dlugo trwa pentest?

Typowy pentest aplikacji webowej trwa 5 do 15 dni roboczych zaleznie od zakresu, plus 2 do 5 dni raportowania. Mala witryna WordPress moze byc przebadana w 3 do 5 dni, aplikacja enterprise potrafi zajac 4 do 8 tygodni.

Ile kosztuje pentest?

W 2025 ukierunkowany pentest aplikacji webowej kosztuje od 5.000 do 25.000 EUR dla MSP i 30.000 do 150.000 EUR dla enterprise. Continuous Pentest as a Service zaczyna sie od 800 do 2.000 EUR miesiecznie.

Czym jest Penetration Testing?

Q: Czym jest penetration testing?

Penetration testing (pentest) to autoryzowany symulowany atak na system, aplikacje lub siec wykonywany przez etycznych hakerow w celu znalezienia luk przed prawdziwymi atakujacymi. Laczy automatyczne skanowanie z reczna eksploatacja i konczy sie pisemnym raportem z wynikami, ocena waznosci i krokami naprawy.

Penetration testing (pentesting, etyczne hakowanie) to autoryzowany symulowany cyberatak na system, aplikacje, API lub siec. Celem jest identyfikacja slabosci (podatnosci, blednych konfiguracji, blednych projektow) zanim zlosliwi atakujacy je wykorzystaja. Pentester stosuje ustrukturyzowana metodologie obejmujaca skanowanie, reczna eksploatacje, post eksploatacje i raport. Wynikiem jest pisemny raport oceniajacy kazdy wynik wedlug waznosci (Critical, High, Medium, Low, Informational) z krokami reprodukcji, zrzutami, wplywem biznesowym i rekomendowana naprawa. Wymagany w PCI DSS 11.4 (rocznie), ISO 27001:2022 A.8.29, NIS2 artykul 21, HIPAA, SOC 2 i DORA artykul 26 od 17 stycznia 2025. Ceny 2025: 5.000 do 25.000 EUR MSP, 30.000 do 150.000 EUR enterprise, PTaaS od 800 do 2.000 EUR miesiecznie.

Pentest vs vulnerability scan

Aspekt	Skan	Pentest
Automatyzacja	Pelna	Glownie reczny
Glebokosc	Powierzchowny	Lancuchowa eksploatacja
Falszywe pozytywy	Wysokie	Niskie
Eksploatacja	Brak	Realna
Czas	Minuty do godzin	Dni do tygodni
Koszt	Niski	Od 5.000 EUR
Czestotliwosc	Tygodniowo	Rocznie

Rodzaje

Aplikacja web.
API (OWASP API Top 10 2023).
Mobile.
Siec i infrastruktura.
Cloud (AWS, Azure, GCP).
Wireless.
Inzynieria spoleczna i phishing.
Red Team.
Purple Team.
IoT.

Modele wiedzy

Black box.
Grey box.
White box.

Metodologia

Zakres i zasady zaangazowania.
Reconnaissance.
Threat modeling.
Identyfikacja (Burp Suite Pro, Acunetix, Nuclei, Nessus).
Eksploatacja (Metasploit, sqlmap, hashcat, BloodHound).
Post eksploatacja.
Raport CVSS 3.1 lub 4.0.
Naprawa i retest.

Standardy

OWASP WSTG 4.2.
OWASP API Top 10 2023.
PTES.
NIST SP 800 115.
OSSTMM.
MITRE ATT&CK.
PCI DSS 11.4.
TIBER-EU.

Narzedzia

Burp Suite.
OWASP ZAP.
Metasploit.
Nmap.
sqlmap.
Nuclei.
hashcat.
BloodHound.
Kali Linux, Parrot OS.
Cobalt Strike.
WPScan.

Certyfikaty

OSCP, OSCE3.
CRTO / CRTL.
CREST CRT i CCT.
PNPT.
GPEN, GWAPT, GXPN.
CEH.

Pentest WordPressa

CVE wtyczek i motywow (WPScan).
REST API bez auth.
XML-RPC.
Enumeracja autorow.
Pliki backup w webroot.
Podatne uploady.
SQLi w plugin/theme.
Stored XSS.
Brak 2FA i nonces CSRF.
Slabe hasla.

Przygotowanie

Zdefiniowac zakres.
Konta testowe per rola.
Izolowany staging.
Powiadomic SOC, IT, hosting i WAF.
Udokumentowac znane problemy.
Kanal komunikacji.
Budzet na retest.

Bug Bounty

HackerOne, Bugcrowd, Intigriti, YesWeHack, Open Bug Bounty. Uzupelnienie, nie zamiennik.

Jak InspectWP pasuje?

InspectWP automatyzuje rozpoznanie i analize powierzchni.

Czym jest Penetration Testing?

Pentest vs vulnerability scan

Rodzaje

Modele wiedzy

Metodologia

Standardy

Narzedzia

Certyfikaty

Pentest WordPressa

Przygotowanie

Bug Bounty

Jak InspectWP pasuje?

Czym jest Interaction to Next Paint (INP)?

Czym są AVIF i WebP w porównaniu?

Powiązane artykuły

Czym są HTTP/2 i HTTP/3? Praktyczny przewodnik dla witryn WordPress

Czym sa WordPress custom post types?

Czym jest block theme WordPress (Full Site Editing)?

Sprawdź teraz swoją stronę WordPress