Dodali jste to rychle.
Teď se ujistěte, že je to bezpečné.

Narušené autentizační toky

Narychlo napsané aplikace se dodávají rychle - a často chybí ověření e-mailu, správa sessions nebo obnova hesla. Zachytíme to, co vám framework nepokryl.

Odhalená data uživatelů

IDOR zranitelnosti, nezabezpečená API, špatně nastavená databázová pravidla. Stačí jedno špatné oprávnění a data vašich uživatelů si přečte kdokoli. Najdeme je dřív, než to udělá někdo jiný.

Slepá místa no-code nástrojů

Bubble, Supabase, Firebase - skvělé nástroje, ale jejich výchozí nastavení není vždy bezpečné. Penetrify kontroluje skutečnou útočnou plochu, nejen konfigurační panel.

The Annual Pen Test Is No Longer Enough

Modern software teams ship code weekly or daily. A single annual security assessment leaves up to 364 days of unscanned exposure between reviews. Every sprint introduces new API endpoints, new authentication flows, new dependencies. By the time a manual tester examines your application, the code they're testing may look nothing like what's running in production.

Every code push is a potential introduction of new vulnerabilities. The traditional model — test once, then wait — was designed for software that shipped quarterly. It is ill-suited to products that deploy dozens of times a week.

The cost of point-in-time testing:

• →New features deployed after the assessment remain unscanned until the next engagement
• →Regression vulnerabilities reintroduced by code changes go undetected for months
• →A single manual engagement costs $10,000–$50,000 and covers one point in time
• →Procurement, scoping, and scheduling add weeks before testing even begins

What Changes When Security Tests Run on Every Deploy

When security tests run on every CI/CD build, the security posture in your dashboard reflects the code running today — not the code from last quarter. Vulnerabilities are caught when they're cheapest to fix: in a pull request, before the feature ever reaches production.

Finding a vulnerability in a pull request takes an hour to fix. Finding the same vulnerability three months after deployment — after it's been in production, after customers have interacted with it — takes days and creates compliance exposure. The economics are not comparable.

What continuous testing delivers:

• →Security vulnerabilities caught in the same sprint they're introduced
• →A clear, auditable record of security posture at every deployment
• →CI/CD gates that block deployments containing critical or high-severity findings
• →Security teams freed from manual triage to focus on architecture and threat modeling

Breadth No Human Team Can Match

A human penetration tester works within a time box. Given five days to assess a 200-endpoint API, they make judgment calls about where to invest effort — and some endpoints get skipped. Penetrify tests every discovered endpoint, every parameter, and every authentication flow against the full catalog of known vulnerability classes, every time. No endpoint is de-prioritized because time ran short.

Every scan covers:

• →All OWASP Top 10 vulnerability categories — every endpoint, every time
• →Authentication, session management, and privilege escalation testing
• →IDOR and broken access control across all user roles and data objects
• →REST API and GraphQL-specific vulnerabilities including mass assignment and introspection abuse
• →SQL injection, XSS, CSRF, XXE, and injection variants across all input surfaces
• →Secret and API key exposure in responses, headers, and error messages

Agent testuje všechny kritické autentizační postupy – nejen zda existuje přihlašovací formulář, ale i zda jej lze obejít. Pokouší se o obejití ověření e-mailu, útoky opakovaného přehrávání tokenů, narušené postupy obnovy hesla, fixaci relace a chybějící omezení rychlosti na koncových bodech pověření.

Common findings

• ▸Nezavedeno ověření e-mailu na chráněných endpoints
• ▸Session tokeny nejsou rotovány při eskalaci oprávnění
• ▸Žádné zablokování účtu po opakovaných neúspěšných přihlášeních – možný útok hrubou silou
• ▸Útoky zmatením algoritmu JWT (snížení RS256 → HS256)
• ▸Tokeny pro resetování hesla bez expirace nebo vynucení jednorázového použití

Nezabezpečené přímé odkazy na objekty (IDOR) jsou nejčastěji zneužívanou třídou zranitelností v moderních webových aplikacích. Penetrify systematicky nahrazuje identifikátory řízené uživatelem ve všech koncových bodech a kontroluje, zda je vlastnictví důsledně vynucováno na každé trase.

Common findings

• ▸/api/users/:id přístupný jakémukoli ověřenému uživateli, nejen vlastníkovi záznamu
• ▸Export nebo stahování endpointů akceptujících ID uživatelů bez kontrol vlastnictví
• ▸Admin-only cesty dostupné běžnými uživatelskými účty
• ▸Horizontální navýšení oprávnění prostřednictvím uhodnutelných nebo sekvenčních ID zdrojů
• ▸Chybějící nebo nesprávně nakonfigurované zásady zabezpečení na úrovni řádků databáze (RLS)

Náš engine testuje na SQL injection, NoSQL injection, command injection, XPath injection a server-side template injection napříč všemi vstupními vektory – pole formulářů, parametry dotazu, HTTP hlavičky, JSON těla a nahrávání souborů.

Common findings

• ▸SQL injection ve vyhledávacích, filtrovacích a stránkovacích parametrech
• ▸Reflected XSS prostřednictvím uživatelského vstupu vykresleného bez HTML kódování
• ▸Uložené XSS v polích obsahu zadaného uživatelem (jména, biografie, komentáře)
• ▸Server-Side Template Injection (SSTI) v šablonovacích enginech (Jinja2, Twig, Handlebars)
• ▸XML External Entity (XXE) injection přes nahrávání souborů nebo XML API endpointy

Moderní aplikace jsou API-first. Penetrify automaticky mapuje REST a GraphQL API, testuje nefunkční autorizaci na úrovni objektů, chybějící autentizaci na interních cestách, sdílení podrobných chybových hlášení, nebezpečné CORS politiky a GraphQL introspekci ponechanou otevřenou v produkčním prostředí.

Common findings

• ▸Neověřené API trasy vracející citlivá uživatelská data
• ▸Wildcard CORS (Access-Control-Allow-Origin: *) umožňující autentizované čtení z různých zdrojů
• ▸API odpovědi obsahující skrytá nebo stínová pole, která nejsou zobrazena v UI
• ▸GraphQL introspection povolena v produkci, čímž se celé schéma zpřístupňuje anonymním požadavkům
• ▸Zranitelnosti hromadného přiřazování akceptující nedokumentovaná pole v tělech požadavků API

Kromě aplikační logiky, Penetrify kontroluje bezpečnostní HTTP hlavičky, režim ladění, odhalení verzí závislostí a zda jsou API klíče nebo přihlašovací údaje odhaleny v JavaScriptových balíčcích, proměnných prostředí nebo API chybových odpovědích.

Common findings

• ▸Chybějící bezpečnostní hlavičky: Content-Security-Policy, X-Frame-Options, HSTS, Referrer-Policy
• ▸Ladění koncových bodů nebo podrobné trasování zásobníku odhalující interní cesty k souborům a verze frameworků
• ▸API klíče a tajné kódy vložené do JavaScriptových balíčků na straně klienta doručovaných do prohlížeče
• ▸Citlivá data vracená v chybových odpovědích API (trasování zásobníku, připojovací řetězce DB)
• ▸Otevřené přesměrování zranitelností na přihlašovacích nebo callback endpointech, které lze využít pro phishing

Situace

Sólový zakladatel postavil SaaS pro správu úkolů během víkendového hackatonu a spustil ho na Product Hunt během několika dní. Aplikace používala Next.js se Supabase pro autentizaci a databázi. Vše vypadalo uhlazeně - čisté UI, funkční přihlášení, Stripe integrace. Během prvního týdne se zaregistrovalo 200+ uživatelů.

Co Penetrify našel

• KRITICKÁPolitiky Supabase Row Level Security (RLS) nejsou povoleny v tabulce profilů - jakýkoli přihlášený uživatel mohl dotazovat všechny uživatelské záznamy přes REST API
• KRITICKÁOvěření e-mailu není vynuceno - účty šlo vytvořit s libovolnými e-maily a okamžitě přistupovat k chráněným endpointům
• STŘEDNĚ ZÁVAŽNÁAPI trasa /api/export přijímala ID uživatele jako parametr dotazu bez kontroly vlastnictví (IDOR)
• STŘEDNĚ ZÁVAŽNÁŽádné omezení četnosti požadavků na přihlašovacím endpointu - brute-force útoky možné při ~500 req/s
• STŘEDNĚ ZÁVAŽNÁJWT tokeny v localStorage bez expirace a rotace

Situace

Dvoučlenný tým postavil freelance tržiště pomocí Bubble.io s platbami přes Stripe Connect. Platforma zpracovala transakce v hodnotě 40 000 $+ a rostla prostřednictvím doporučení. Žádný ze zakladatelů neměl bezpečnostní background - předpokládali, že Bubble za ně bezpečnost řeší.

Co Penetrify našel

• KRITICKÁTajný API klíč Stripe odhalený v JavaScript bundle na straně klienta - plný read/write přístup k platebním datům, refundacím a záznamům zákazníků
• STŘEDNĚ ZÁVAŽNÁPrivacy rules v Bubble špatně nastavená - bankovní účty prodejců viditelné pro libovolného přihlášeného uživatele přes API volání
• STŘEDNĚ ZÁVAŽNÁPassword reset přijímal jakýkoli e-mail bez ověření - umožňoval enumeraci účtů
• STŘEDNĚ ZÁVAŽNÁŽádná Content Security Policy - reflected XSS možný přes injekci parametru vyhledávání
• NÍZKÁPolitika CORS nastavena na wildcard (*) umožňující jakémukoli původu provádět autentizované požadavky

Situace

Technický zakladatel postavil AI asistenta pro psaní pomocí FastAPI na backendu a React na frontendu. Produkt přeposílal volání na API OpenAI, přidával vlastní prompty a historii uživatelů. Aplikace získávala trakci na Twitteru/X a zakladatel připravoval přihlášku do YC. Přibližně 800 uživatelů na freemium modelu.

Co Penetrify našel

• KRITICKÁAPI klíč OpenAI předávaný do frontendu v hlavičkách odpovědí - kdokoli ho mohl vytáhnout a spotřebovávat API kredity zakladatele (odhad: 2 000 $/měsíc)
• STŘEDNĚ ZÁVAŽNÁEndpoint historie promptů uživatele /api/history/:userId neměl middleware pro autentizaci - konverzační logy všech uživatelů přístupné pouhou změnou ID
• STŘEDNĚ ZÁVAŽNÁDebug režim stále zapnutý v produkci (FastAPI(debug=True)) - kompletní stack trace s interními cestami a verzemi dependencies odhalené při chybách
• NÍZKÁŽádné přesměrování na HTTPS - HTTP verze aplikace dostupná bez přesměrování, umožňující session hijacking na veřejných sítích

Ideální pro side projekty a rané MVP.

• ✓1 penetrační test za měsíc
• ✓Automatické a poloautomatické režimy
• ✓Standardní skenování zranitelností
• ✓PDF reporty
• ✓E-mailová podpora
• ✓Historie výsledků 30 dní

Pro rostoucí produkty se skutečnými uživateli.

• ✓20 penetračních testů za měsíc
• ✓Všechny funkce Starter
• ✓Pokročilá detekce zranitelností
• ✓Vlastní branding reportů
• ✓API přístup
• ✓Prioritní podpora (odpověď do 24h)
• ✓Historie výsledků 90 dní
• ✓Týmová spolupráce (až 5 uživatelů)

Pro startupy, které řeší compliance.

• ✓100 penetračních testů za měsíc
• ✓Všechny funkce Professional
• ✓Dedikovaný bezpečnostní konzultant
• ✓Vlastní integrace
• ✓Záruka SLA (99,9% dostupnost)
• ✓Telefonická podpora
• ✓Neomezená historie výsledků
• ✓Neomezený počet členů týmu
• ✓White-label reporty
• ✓Compliance reporting (SOC 2, ISO 27001)

Kolik stojí AI penetrační testování?

Penetrify začíná na $50/měsíc pro tarif Starter (1 sken/měsíc), $600/měsíc pro Professional (20 skenů/měsíc) a $2,500/měsíc pro Enterprise (100 skenů/měsíc). To je o 95–99 % levnější než tradiční manuální penetrační testy, které typicky stojí $15,000–$50,000 za zakázku.

Jak dlouho trvá penetrační test?

Penetrify dokončí rychlou kontrolu za 15–30 minut, standardní kontrolu za 1–2 hodiny a hloubkovou kontrolu za několik hodin pro komplexní aplikace. Tradiční penetrační testy trvají 1–4 týdny, než se naplánují, provedou a obdrží se výsledky.

Jaké zranitelnosti Penetrify detekuje?

Penetrify detekuje všechny kategorie zranitelností OWASP Top 10: SQL injection, Cross-Site Scripting (XSS), CSRF, Insecure Direct Object References (IDOR), nefunkční autentizace, chyby v konfiguraci zabezpečení, odhalení citlivých dat a další. Testuje také zabezpečení API, správu relací, chyby v obchodní logice a běžné chybné konfigurace v Supabase, Firebase a Bubble.

Je Penetrify bezpečné spouštět na živé produkční aplikaci?

Ano. Penetrify je z principu nedestruktivní: nikdy nemění data, nikdy nezapisuje do vaší databáze a neprovádí žádné destruktivní akce. Veškeré testování je pouze pro čtení a neinvazivní. Vaši uživatelé si ničeho nevšimnou – žádné výpadky, žádné změny dat, žádné vedlejší účinky.

Jaká je míra falešně pozitivních výsledků u Penetrify?

Penetrify udržuje míru falešně pozitivních výsledků pod 5 %. AI engine kontextuálně validuje každé zjištění před jeho ohlášením, takže vývojáři vidí pouze skutečné, zneužitelné problémy – nikoli šum skeneru. Tradiční automatizované skenery obvykle hlásí 40–60 % falešně pozitivních výsledků.

Vyžaduje Penetrify instalaci nebo změny kódu?

Není nutná žádná instalace. Penetrify je 100% cloudové a bez agentů. Poskytnete URL vaší aplikace a AI se postará o vše ostatní. Žádné změny kódu, žádné pluginy, žádní agenti k nasazení – funguje s jakýmkoli webovým stackem včetně React, Next.js, Django, Rails a no-code platformami jako Bubble, Webflow a Supabase.

FAQ

Máte otázky?

Rychlé odpovědi na nejčastější otázky o Penetrify.