Nasadili ste to rýchlo.
Teraz sa uistite, že je to bezpečné.

Pokazené auth flow

Aplikácie vytvorené narýchlo vychádzajú rýchlo - a často preskočia overenie e-mailu, správu sessions alebo flow resetovania hesla. Zachytíme to, čo váš framework nepokryl.

Odhalené údaje používateľov

Zraniteľnosti IDOR, unikajúce API, nesprávne nakonfigurované pravidlá databázy. Jedno zlé oprávnenie a dáta vašich používateľov sú prístupné komukoľvek. Nájdeme ich skôr, ako to urobí niekto iný.

Slepé miesta no-code

Bubble, Supabase, Firebase - skvelé nástroje, ale ich predvolené nastavenia nie sú vždy bezpečné. Penetrify kontroluje skutočný útočný povrch, nielen konfiguračný panel.

The Annual Pen Test Is No Longer Enough

Modern software teams ship code weekly or daily. A single annual security assessment leaves up to 364 days of unscanned exposure between reviews. Every sprint introduces new API endpoints, new authentication flows, new dependencies. By the time a manual tester examines your application, the code they're testing may look nothing like what's running in production.

Every code push is a potential introduction of new vulnerabilities. The traditional model — test once, then wait — was designed for software that shipped quarterly. It is ill-suited to products that deploy dozens of times a week.

The cost of point-in-time testing:

• →New features deployed after the assessment remain unscanned until the next engagement
• →Regression vulnerabilities reintroduced by code changes go undetected for months
• →A single manual engagement costs $10,000–$50,000 and covers one point in time
• →Procurement, scoping, and scheduling add weeks before testing even begins

What Changes When Security Tests Run on Every Deploy

When security tests run on every CI/CD build, the security posture in your dashboard reflects the code running today — not the code from last quarter. Vulnerabilities are caught when they're cheapest to fix: in a pull request, before the feature ever reaches production.

Finding a vulnerability in a pull request takes an hour to fix. Finding the same vulnerability three months after deployment — after it's been in production, after customers have interacted with it — takes days and creates compliance exposure. The economics are not comparable.

What continuous testing delivers:

• →Security vulnerabilities caught in the same sprint they're introduced
• →A clear, auditable record of security posture at every deployment
• →CI/CD gates that block deployments containing critical or high-severity findings
• →Security teams freed from manual triage to focus on architecture and threat modeling

Breadth No Human Team Can Match

A human penetration tester works within a time box. Given five days to assess a 200-endpoint API, they make judgment calls about where to invest effort — and some endpoints get skipped. Penetrify tests every discovered endpoint, every parameter, and every authentication flow against the full catalog of known vulnerability classes, every time. No endpoint is de-prioritized because time ran short.

Every scan covers:

• →All OWASP Top 10 vulnerability categories — every endpoint, every time
• →Authentication, session management, and privilege escalation testing
• →IDOR and broken access control across all user roles and data objects
• →REST API and GraphQL-specific vulnerabilities including mass assignment and introspection abuse
• →SQL injection, XSS, CSRF, XXE, and injection variants across all input surfaces
• →Secret and API key exposure in responses, headers, and error messages

Agent testuje všetky kritické autentifikačné postupy – nielen to, či existuje prihlasovací formulár, ale aj to, či sa dá obísť. Pokúša sa o obchádzanie overenia e-mailom, útoky opakovaním tokenov, nefunkčné postupy obnovy hesla, fixáciu relácie a chýbajúce obmedzenie rýchlosti na koncových bodoch poverení.

Common findings

• ▸Overenie e-mailu nevynútené na chránených endpointoch
• ▸Relácie tokeny sa nerotujú pri zvýšení privilégií
• ▸Žiadne zablokovanie účtu po opakovaných neúspešných prihláseniach – možný brute-force útok
• ▸Útoky zmätením algoritmu JWT (zníženie RS256 → HS256)
• ▸Tokeny na obnovenie hesla bez expirácie alebo vynútenia jednorazového použitia

Nezabezpečené priame referencie na objekty (IDOR) sú najčastejšie zneužívaná trieda zraniteľností v moderných webových aplikáciách. Penetrify systematicky nahrádza identifikátory riadené používateľom naprieč všetkými koncovými bodmi a kontroluje, či sa vlastníctvo konzistentne presadzuje na každej trase.

Common findings

• ▸/api/users/:id prístupný pre každého autentifikovaného používateľa, nielen pre vlastníka záznamu
• ▸Exportovať alebo stiahnuť koncové body akceptujúce ID používateľov bez overenia vlastníctva
• ▸Trasy vyhradené len pre administrátorov dostupné bežnými používateľskými účtami
• ▸Horizontálna eskalácia privilégií prostredníctvom uhádnuteľných alebo sekvenčných ID zdrojov
• ▸Chýbajúce alebo nesprávne nakonfigurované politiky zabezpečenia na úrovni riadkov databázy (RLS)

Engine testuje na SQL injection, NoSQL injection, command injection, XPath injection a server-side template injection vo všetkých vstupných vektoroch — polia formulárov, parametre dotazov, HTTP hlavičky, JSON telá a nahrávanie súborov.

Common findings

• ▸SQL injection vo vyhľadávacích, filtrovacích a stránkovacích parametroch
• ▸Reflected XSS cez používateľský vstup vykreslený bez HTML kódovania
• ▸Uložené XSS v poliach s obsahom zadaným používateľom (mená, bios, komentáre)
• ▸Server-Side Template Injection (SSTI) v šablónovacích nástrojoch (Jinja2, Twig, Handlebars)
• ▸XML External Entity (XXE) injection cez nahrávanie súborov alebo XML API endpointov

Moderné aplikácie sú API-first. Penetrify automaticky mapuje REST a GraphQL API, testuje nefunkčnú autorizáciu na úrovni objektov, chýbajúcu autentifikáciu na interných trasách, rozsiahle odhalenie chýb, nebezpečné CORS politiky a GraphQL inšpekciu ponechanú otvorenú vo výrobe.

Common findings

• ▸Neautentifikované API trasy vracajúce citlivé používateľské dáta
• ▸Wildcard CORS (Access-Control-Allow-Origin: *) umožňujúci autentifikované čítania medzi rôznymi pôvodmi
• ▸API odpovede obsahujúce skryté alebo tieňové polia, ktoré nie sú zobrazené v UI
• ▸GraphQL introspection povolený vo výrobe, čím sa odhaľuje celá schéma anonymným požiadavkám
• ▸Zraniteľnosti hromadného priraďovania akceptujúce nedokumentované polia v tele požiadaviek API

Okrem aplikačnej logiky Penetrify kontroluje HTTP bezpečnostné hlavičky, režim ladenia, odhalenie verzií závislostí a to, či API kľúče alebo prihlasovacie údaje nie sú vystavené v JavaScript balíkoch, premenných prostredia alebo chybových odpovediach API.

Common findings

• ▸Chýbajúce bezpečnostné hlavičky: Content-Security-Policy, X-Frame-Options, HSTS, Referrer-Policy
• ▸Ladiace koncové body alebo rozsiahle trasovania zásobníka odhaľujúce interné cesty k súborom a verzie frameworku
• ▸API kľúče a tajné údaje vložené do JavaScript balíkov na strane klienta, ktoré sú poskytované prehliadaču
• ▸Citlivé údaje vrátené v chybových odpovediach API (stack traces, DB connection strings)
• ▸Zraniteľnosti typu open redirect na koncových bodoch prihlásenia alebo spätného volania použiteľné na phishing

Situácia

Sólový zakladateľ postavil SaaS na správu úloh počas víkendového hackatónu a spustil ho na Product Hunt v priebehu niekoľkých dní. Aplikácia používala Next.js so Supabase na overovanie a databázu. Všetko vyzeralo vybrúsene - čisté UI, funkčné prihlásenie, integrácia Stripe. V prvom týždni sa zaregistrovalo viac ako 200 používateľov.

Čo Penetrify našiel

• CRITICALPolitiky Supabase Row Level Security (RLS) neboli povolené na tabuľke profilov - akýkoľvek overený používateľ mohol dotazovať všetky záznamy používateľov cez REST API
• CRITICALOverenie e-mailu nebolo vynútené - účty bolo možné vytvárať s ľubovoľnými e-mailmi a okamžite pristupovať k chráneným endpointom
• MEDIUMTrasa API /api/export prijímala ID používateľa ako parameter dotazu bez kontroly vlastníctva (IDOR)
• MEDIUMŽiadne obmedzenie počtu požiadaviek na prihlasovacom endpointe - brute-force útoky možné pri ~500 req/s
• MEDIUMTokeny JWT v localStorage bez expirácie a rotácie

Situácia

Dvojčlenný tím postavil freelance marketplace pomocou Bubble.io, spracovávajúc platby cez Stripe Connect. Platforma spracovala viac ako 40 000 USD v transakciách a rástla odporúčaniami. Ani jeden zo zakladateľov nemal bezpečnostné zázemie - predpokladali, že platforma Bubble rieši bezpečnosť za nich.

Čo Penetrify našiel

• CRITICALTajný API kľúč Stripe odhalený v JavaScript bundle na strane klienta - úplný prístup na čítanie/zápis k platobným dátam, refundáciám a zákazníckym záznamom
• MEDIUMPravidlá súkromia Bubble nesprávne nakonfigurované - bankové údaje predajcov viditeľné pre každého prihláseného používateľa cez API volania
• MEDIUMTok obnovenia hesla prijímal akýkoľvek e-mail bez overenia, čo umožňovalo enumeráciu účtov
• MEDIUMŽiadna Content Security Policy - odrazené XSS možné cez injekciu parametrov vyhľadávania
• LOWPolitika CORS nastavená na wildcard (*) umožňujúca akémukoľvek zdroju vykonávať overené požiadavky

Situácia

Technický zakladateľ postavil AI asistenta písania pomocou FastAPI na backende a React na frontende. Produkt proxoval volania na API OpenAI s custom promptami a históriou používateľa. Appka získavala trakciu na Twitter/X a zakladateľ pripravoval prihlášku YC. Približne 800 používateľov vo freemium modeli.

Čo Penetrify našiel

• CRITICALAPI kľúč OpenAI odovzdávaný do frontendu v hlavičkách odpovede - akýkoľvek používateľ ho mohol vytiahnuť a priamo využívať API kredity zakladateľa (~$2 000/mes.)
• MEDIUMEndpoint histórie promptov používateľa /api/history/:userId nemal middleware overovania - logy konverzácií všetkých používateľov boli prístupné zmenou ID
• MEDIUMDebug režim stále zapnutý v produkcii (FastAPI(debug=True)) - úplné stack trace s internými cestami a verziami závislostí odhalené pri chybách
• LOWŽiadne presmerovanie HTTPS - HTTP verzia aplikácie servovaná bez presmerovania, umožňujúc únos relácie vo verejných sieťach

Ideálne pre side projekty a rané MVP.

• ✓1 pentest za mesiac
• ✓Automatický a poloautomatický režim
• ✓Štandardné skenovanie zraniteľností
• ✓PDF správy
• ✓Podpora e-mailom
• ✓30-dňová história výsledkov

Pre rastúce produkty so skutočnými používateľmi.

• ✓20 pentestov za mesiac
• ✓Všetky funkcie Starter
• ✓Pokročilá detekcia zraniteľností
• ✓Vlastný branding správ
• ✓Prístup k API
• ✓Prioritná podpora (odpoveď do 24h)
• ✓90-dňová história výsledkov
• ✓Tímová spolupráca (až 5 používateľov)

Pre startupy na ceste ku compliance.

• ✓100 pentestov za mesiac
• ✓Všetky funkcie Professional
• ✓Dedikovaný bezpečnostný konzultant
• ✓Integrácie custom
• ✓Záruka SLA (dostupnosť 99,9%)
• ✓Telefonická podpora
• ✓Neobmedzená história výsledkov
• ✓Neobmedzený počet členov tímu
• ✓White-label správy
• ✓Compliance reporting (SOC 2, ISO 27001)

Koľko stojí AI penetračné testovanie?

Penetrify začína na $50/mesiac pre plán Starter (1 sken/mesiac), $600/mesiac pre Professional (20 skenov/mesiac) a $2,500/mesiac pre Enterprise (100 skenov/mesiac). To je o 95–99% lacnejšie ako tradičné manuálne penetračné testy, ktoré zvyčajne stoja $15,000–$50,000 za jedno testovanie.

Ako dlho trvá penetračný test?

Penetrify dokončí rýchle skenovanie za 15–30 minút, štandardné skenovanie za 1–2 hodiny a hĺbkové skenovanie za niekoľko hodín pre komplexné aplikácie. Tradičné penetračné testy trvajú 1–4 týždne, kým sa naplánujú, vykonajú a doručia výsledky.

Aké zraniteľnosti detekuje Penetrify?

Penetrify detekuje všetky kategórie zraniteľností OWASP Top 10: SQL injection, Cross-Site Scripting (XSS), CSRF, Insecure Direct Object References (IDOR), narušená autentifikácia, bezpečnostné miskonfigurácie, odhalenie citlivých údajov a ďalšie. Testuje tiež API security, session management, chyby v obchodnej logike a bežné miskonfigurácie v Supabase, Firebase a Bubble.

Je Penetrify bezpečné spúšťať na produkčnej aplikácii v ostrej prevádzke?

Áno. Penetrify je už zo svojej podstaty nedeštruktívny: nikdy nemodifikuje dáta, nikdy nezapisuje do vašej databázy a nevykonáva žiadne deštruktívne akcie. Všetko testovanie je iba na čítanie a neinvazívne. Vaši používatelia si nič nevšimnú – žiadne výpadky, žiadne zmeny dát, žiadne vedľajšie účinky.

Aká je miera falošných poplachov Penetrify?

Penetrify udržiava mieru falošných poplachov pod 5 %. AI engine kontextuálne overuje každý nález predtým, ako ho nahlási, takže vývojári vidia iba skutočné, zneužiteľné problémy – nie šum skenera. Tradičné automatizované skenery zvyčajne hlásia 40–60 % falošných poplachov.

Vyžaduje Penetrify inštaláciu alebo zmeny v kóde?

Nevyžaduje sa žiadna inštalácia. Penetrify je 100% cloudový a bezagentový. Poskytnete URL vašej aplikácie a AI sa postará o všetko ostatné. Žiadne zmeny kódu, žiadne pluginy, žiadni agenti na nasadenie – funguje s akýmkoľvek web stackom, vrátane React, Next.js, Django, Rails a no-code platformami ako Bubble, Webflow a Supabase.

FAQ

Máte otázky?

Rýchle odpovede na najčastejšie otázky o Penetrify.