Wdrożyłeś to szybko.
Teraz upewnij się, że jest bezpieczne.

Zepsute flow uwierzytelniania

Aplikacje tworzone w pośpiechu wychodzą szybko - i często pomijają weryfikację email, zarządzanie sesjami czy flow resetowania hasła. Wychwytujemy to, czego Twój framework nie pokrył.

Ujawnione dane użytkowników

Luki IDOR, przeciekające API, źle skonfigurowane reguły bazy danych. Jedno błędne uprawnienie i dane Twoich użytkowników są dostępne dla każdego. Znajdujemy je, zanim zrobi to ktoś inny.

Martwe punkty no-code

Bubble, Supabase, Firebase - świetne narzędzia, ale ich domyślne ustawienia nie zawsze są bezpieczne. Penetrify sprawdza rzeczywistą powierzchnię ataku, nie tylko panel konfiguracyjny.

The Annual Pen Test Is No Longer Enough

Modern software teams ship code weekly or daily. A single annual security assessment leaves up to 364 days of unscanned exposure between reviews. Every sprint introduces new API endpoints, new authentication flows, new dependencies. By the time a manual tester examines your application, the code they're testing may look nothing like what's running in production.

Every code push is a potential introduction of new vulnerabilities. The traditional model — test once, then wait — was designed for software that shipped quarterly. It is ill-suited to products that deploy dozens of times a week.

The cost of point-in-time testing:

• →New features deployed after the assessment remain unscanned until the next engagement
• →Regression vulnerabilities reintroduced by code changes go undetected for months
• →A single manual engagement costs $10,000–$50,000 and covers one point in time
• →Procurement, scoping, and scheduling add weeks before testing even begins

What Changes When Security Tests Run on Every Deploy

When security tests run on every CI/CD build, the security posture in your dashboard reflects the code running today — not the code from last quarter. Vulnerabilities are caught when they're cheapest to fix: in a pull request, before the feature ever reaches production.

Finding a vulnerability in a pull request takes an hour to fix. Finding the same vulnerability three months after deployment — after it's been in production, after customers have interacted with it — takes days and creates compliance exposure. The economics are not comparable.

What continuous testing delivers:

• →Security vulnerabilities caught in the same sprint they're introduced
• →A clear, auditable record of security posture at every deployment
• →CI/CD gates that block deployments containing critical or high-severity findings
• →Security teams freed from manual triage to focus on architecture and threat modeling

Breadth No Human Team Can Match

A human penetration tester works within a time box. Given five days to assess a 200-endpoint API, they make judgment calls about where to invest effort — and some endpoints get skipped. Penetrify tests every discovered endpoint, every parameter, and every authentication flow against the full catalog of known vulnerability classes, every time. No endpoint is de-prioritized because time ran short.

Every scan covers:

• →All OWASP Top 10 vulnerability categories — every endpoint, every time
• →Authentication, session management, and privilege escalation testing
• →IDOR and broken access control across all user roles and data objects
• →REST API and GraphQL-specific vulnerabilities including mass assignment and introspection abuse
• →SQL injection, XSS, CSRF, XXE, and injection variants across all input surfaces
• →Secret and API key exposure in responses, headers, and error messages

Agent testuje wszystkie krytyczne ścieżki uwierzytelniania – nie tylko sprawdza, czy istnieje formularz logowania, ale także czy można go obejść. Próbuje obejść weryfikację e-mail, przeprowadza ataki z powtórzeniem tokenu, testuje wadliwe procesy resetowania hasła, fiksację sesji oraz brak ograniczeń szybkości na endpointach uwierzytelniających.

Common findings

• ▸Weryfikacja adresu e-mail nie jest wymuszana na chronionych endpointach.
• ▸Tokeny sesyjne nie są odświeżane po eskalacji uprawnień
• ▸Brak blokady konta po wielokrotnych nieudanych próbach logowania — możliwość ataku brute-force
• ▸Ataki polegające na myleniu algorytmów JWT (obniżenie poziomu RS256 → HS256)
• ▸Tokeny resetowania hasła bez daty ważności lub wymuszenia jednorazowego użytku

Niezabezpieczone odwołania do obiektów bezpośrednich (IDOR) są najczęściej wykorzystywaną klasą luk w zabezpieczeniach we współczesnych aplikacjach internetowych. Penetrify systematycznie zastępuje identyfikatory kontrolowane przez użytkownika we wszystkich punktach końcowych i sprawdza, czy własność jest konsekwentnie egzekwowana na każdej trasie.

Common findings

• ▸/api/users/:id dostępne dla każdego uwierzytelnionego użytkownika, nie tylko dla właściciela rekordu
• ▸Eksportuj lub pobierz endpointy akceptujące identyfikatory użytkowników bez sprawdzania własności
• ▸Trasy dostępne tylko dla administratorów, osiągalne z poziomu zwykłych kont użytkowników.
• ▸Horyzontalna eskalacja uprawnień poprzez zgadywalne lub sekwencyjne identyfikatory zasobów
• ▸Brakujące lub nieprawidłowo skonfigurowane zasady bezpieczeństwa na poziomie wiersza bazy danych (RLS).

Silnik testuje pod kątem SQL injection, NoSQL injection, command injection, XPath injection i server-side template injection we wszystkich wektorach wejściowych — pola formularzy, parametry zapytania, nagłówki HTTP, ciała JSON i przesyłane pliki.

Common findings

• ▸SQL injection w parametrach wyszukiwania, filtrowania i paginacji
• ▸Reflected XSS poprzez dane wprowadzone przez użytkownika renderowane bez kodowania HTML
• ▸XSS przechowywany w polach treści dostarczanych przez użytkownika (imiona, biografie, komentarze)
• ▸Server-Side Template Injection (SSTI) w silnikach szablonów (Jinja2, Twig, Handlebars)
• ▸XML External Entity (XXE) injection poprzez przesyłanie plików lub punkty końcowe XML API

Nowoczesne aplikacje są tworzone w modelu API-first. Penetrify automatycznie mapuje REST i GraphQL APIs, testując pod kątem błędnej autoryzacji na poziomie obiektów, braku uwierzytelniania na wewnętrznych ścieżkach, ujawniania nadmiernych informacji o błędach, niebezpiecznych zasad CORS i otwartej w środowisku produkcyjnym introspekcji GraphQL.

Common findings

• ▸Nieuwierzytelnione ścieżki API zwracające wrażliwe dane użytkownika
• ▸Włączona obsługa CORS wildcard (Access-Control-Allow-Origin: *) umożliwia uwierzytelnione odczyty z różnych domen
• ▸Odpowiedzi API zawierające ukryte lub dodatkowe pola, które nie są wyświetlane w interfejsie użytkownika
• ▸Włączona introspekcja GraphQL w środowisku produkcyjnym, udostępniająca pełną schemę anonimowym żądaniom
• ▸Luki w masowym przypisywaniu akceptujące nieudokumentowane pola w treści żądań API

Poza logiką aplikacji, Penetrify sprawdza nagłówki bezpieczeństwa HTTP, tryb debugowania, ujawnianie wersji zależności oraz czy klucze API lub dane uwierzytelniające są ujawnione w pakietach JavaScript, zmiennych środowiskowych lub odpowiedziach błędów API.

Common findings

• ▸Brakujące nagłówki bezpieczeństwa: Content-Security-Policy, X-Frame-Options, HSTS, Referrer-Policy
• ▸Punkty końcowe debugowania lub szczegółowe ślady stosu ujawniające wewnętrzne ścieżki plików i wersje frameworków
• ▸Klucze API i sekrety osadzone w pakietach JavaScript po stronie klienta dostarczanych do przeglądarki
• ▸Wrażliwe dane zwracane w odpowiedziach błędów API (ślady stosu, parametry połączenia z bazą danych)
• ▸Otwórz przekierowania podatności na loginie lub endpointach callback użyteczne do phishingu

Sytuacja

Samotny założyciel zbudował SaaS do zarządzania zadaniami podczas weekendowego hackathonu i uruchomił go na Product Hunt w ciągu kilku dni. Aplikacja używała Next.js z Supabase do uwierzytelniania i bazy danych. Wszystko wyglądało dopracowane - czysty interfejs, działające logowanie, integracja Stripe. W pierwszym tygodniu zarejestrowało się ponad 200 użytkowników.

Co znalazł Penetrify

• CRITICALPolityki Supabase Row Level Security (RLS) nie były włączone na tabeli profili - każdy uwierzytelniony użytkownik mógł odpytywać wszystkie rekordy użytkowników przez REST API
• CRITICALWeryfikacja email nie była wymagana - konta można było tworzyć z dowolnymi adresami email i natychmiast uzyskiwać dostęp do chronionych endpointów
• MEDIUMŚcieżka API /api/export przyjmowała ID użytkownika jako parametr zapytania bez sprawdzania własności (IDOR)
• MEDIUMBrak ograniczania liczby żądań na endpoincie logowania - ataki brute-force możliwe przy ~500 żąd./s
• MEDIUMTokeny JWT w localStorage bez wygaśnięcia i rotacji

Sytuacja

Dwuosobowy zespół zbudował marketplace dla freelancerów używając Bubble.io, obsługując płatności przez Stripe Connect. Platforma przetworzyła ponad 40 000 USD w transakcjach i rosła przez polecenia. Żaden z założycieli nie miał doświadczenia w bezpieczeństwie - zakładali, że platforma Bubble zajmuje się bezpieczeństwem za nich.

Co znalazł Penetrify

• CRITICALTajny klucz API Stripe ujawniony w bundlu JavaScript po stronie klienta - pełny dostęp do odczytu/zapisu danych płatności, zwrotów i rekordów klientów
• MEDIUMReguły prywatności Bubble źle skonfigurowane - dane bankowe sprzedawców widoczne dla każdego zalogowanego użytkownika przez wywołania API
• MEDIUMPrzepływ resetowania hasła akceptował dowolny email bez weryfikacji, umożliwiając wyliczanie kont
• MEDIUMBrak Content Security Policy - odbite XSS możliwe przez wstrzykiwanie parametrów wyszukiwania
• LOWPolityka CORS ustawiona na wildcard (*) pozwalająca dowolnemu źródłu na uwierzytelnione żądania

Sytuacja

Techniczny założyciel zbudował asystenta pisania AI używając FastAPI na backendzie i React na frontendzie. Produkt pośredniczył w wywołaniach do API OpenAI, dodając niestandardowe podpowiedzi i historię użytkownika. Aplikacja zyskiwała popularność na Twitter/X, a założyciel przygotowywał aplikację do YC. Około 800 użytkowników w modelu freemium.

Co znalazł Penetrify

• CRITICALKlucz API OpenAI przekazywany do frontendu w nagłówkach odpowiedzi - każdy użytkownik mógł go wyekstrahować i bezpośrednio korzystać z kredytów API założyciela (szac. $2 000+/mies. spalania)
• MEDIUMEndpoint historii promptów użytkownika /api/history/:userId nie miał middleware uwierzytelniania - logi konwersacji wszystkich użytkowników były dostępne po zmianie ID
• MEDIUMTryb debugowania nadal włączony na produkcji (FastAPI(debug=True)) - pełne stack trace z wewnętrznymi ścieżkami i wersjami zależności ujawnione na błędach
• LOWBrak przekierowania HTTPS - wersja HTTP aplikacji serwowana bez przekierowania, umożliwiając przechwytywanie sesji w sieciach publicznych

Idealne dla side projektów i wczesnych MVP.

• ✓1 pentest miesięcznie
• ✓Tryby automatyczny i półautomatyczny
• ✓Standardowe skanowanie podatności
• ✓Raporty PDF
• ✓Wsparcie e-mail
• ✓30-dniowa historia wyników

Dla rozwijających się produktów z prawdziwymi użytkownikami.

• ✓20 pentestów miesięcznie
• ✓Wszystkie funkcje Starter
• ✓Zaawansowane wykrywanie podatności
• ✓Własny branding raportów
• ✓Dostęp do API
• ✓Priorytetowe wsparcie (odpowiedź w 24h)
• ✓90-dniowa historia wyników
• ✓Współpraca zespołowa (do 5 użytkowników)

Dla startupów na drodze do compliance.

• ✓100 pentestów miesięcznie
• ✓Wszystkie funkcje Professional
• ✓Dedykowany konsultant ds. bezpieczeństwa
• ✓Integracje custom
• ✓Gwarancja SLA (dostępność 99,9%)
• ✓Wsparcie telefoniczne
• ✓Nieograniczona historia wyników
• ✓Nieograniczona liczba członków zespołu
• ✓Raporty white-label
• ✓Compliance reporting (SOC 2, ISO 27001)

Ile kosztuje testowanie penetracyjne AI?

Penetrify zaczyna się od $50/miesiąc dla planu Starter (1 skan/miesiąc), $600/miesiąc dla Professional (20 skanów/miesiąc) i $2,500/miesiąc dla Enterprise (100 skanów/miesiąc). To 95–99% taniej niż tradycyjne, manualne testy penetracyjne, które zazwyczaj kosztują $15,000–$50,000 za zaangażowanie.

Ile trwa test penetracyjny?

Penetrify wykonuje szybkie skanowanie w 15–30 minut, standardowe skanowanie w 1–2 godziny, a dogłębne skanowanie w ciągu kilku godzin dla złożonych aplikacji. Tradycyjne testy penetracyjne trwają od 1 do 4 tygodni, aby zaplanować, wykonać i otrzymać wyniki.

Jakie luki wykrywa Penetrify?

Penetrify wykrywa wszystkie kategorie podatności z OWASP Top 10: SQL injection, Cross-Site Scripting (XSS), CSRF, Insecure Direct Object References (IDOR), złamane uwierzytelnianie, błędy w konfiguracji bezpieczeństwa, ujawnienie wrażliwych danych i inne. Testuje również bezpieczeństwo API, zarządzanie sesjami, błędy w logice biznesowej oraz typowe błędy konfiguracji w Supabase, Firebase i Bubble.

Czy Penetrify jest bezpieczny do uruchomienia na działającej aplikacji produkcyjnej?

Tak. Penetrify jest z założenia niedestrukcyjne: nigdy nie modyfikuje danych, nie zapisuje nic w Twojej bazie danych i nie wykonuje żadnych destrukcyjnych akcji. Wszystkie testy są tylko do odczytu i nie są inwazyjne. Twoi użytkownicy niczego nie zauważą — żadnych przestojów, żadnych zmian w danych, żadnych efektów ubocznych.

Jaki jest wskaźnik fałszywie dodatnich wyników w Penetrify?

Penetrify utrzymuje wskaźnik fałszywie pozytywnych wyników poniżej 5%. Silnik AI weryfikuje każde znalezisko kontekstualnie przed jego zgłoszeniem, dzięki czemu programiści widzą tylko rzeczywiste, możliwe do wykorzystania problemy — a nie szumy skanera. Tradycyjne automatyczne skanery zwykle zgłaszają 40–60% fałszywie pozytywnych wyników.

Czy Penetrify wymaga instalacji lub zmian w kodzie?

Nie jest wymagana żadna instalacja. Penetrify jest w 100% oparty na chmurze i nie wymaga agentów. Podajesz URL swojej aplikacji, a AI zajmuje się resztą. Bez zmian w kodzie, bez wtyczek, bez agentów do wdrożenia — działa z dowolnym stosem technologicznym, w tym React, Next.js, Django, Rails i platformami no-code, takimi jak Bubble, Webflow i Supabase.

FAQ

Masz pytania?

Szybkie odpowiedzi na najczęstsze pytania o Penetrify.