Martin Hořický
Partner • Digital Services
Penetrační testování webových aplikací je součástí bezpečnostního ověřování, která simuluje reálné útoky za účelem identifikace zranitelností v aplikační vrstvě. Cílem není pouze ověřit funkčnost, ale především prověřit, zda aplikace neumožňuje neoprávněný přístup, manipulaci s daty, nebo narušení důvěrnosti a dostupnosti informací.
Pro regulované subjekty, zejména ve finančním sektoru, je toto testování nedílnou součástí plnění požadavků evropských regulací, jako je DORA nebo NIS2, které kladou důraz na pravidelnou identifikaci a řízení kybernetických rizik v celém životním cyklu aplikací.
Proč testovat webové aplikace?
Pouhé statické zabezpečení nestačí, odolnost aplikací je nutné ověřovat i prostřednictvím řízených útoků v realistických podmínkách.
| Přínos | Popis |
| Simulace reálných útoků | Ověření odolnosti vůči SQL injection, XSS, path traversal nebo CSRF. |
| Ověření aplikační bezpečnosti | Testování řízení přístupu, validace vstupů, správy relací a šifrování. |
| Detekce konfiguračních chyb | Analýza nastavení HTTP hlaviček, CORS politik nebo chybné ochrany API. |
| Prověření obchodní logiky | Identifikace zneužití logiky aplikace – např. neoprávněné slevy nebo převody. |
| Identifikace lidského faktoru | Např. slabá hesla v administraci, neuzamčené testovací účty apod. |
Jaké jsou požadavky na testovací týmy?
DORA zdůrazňuje, že penetrační testy aplikací musí být prováděny kvalifikovanými a nezávislými odborníky se zkušenostmi v oblasti aplikační bezpečnosti:
- Pokročilá znalost webových technologií a aplikační bezpečnosti.
- Zkušenost s nástroji pro aplikační testování (Burp Suite, OWASP ZAP, Postman, SQLmap).
- Schopnost simulovat reálné útoky (XSS, SQLi, IDOR, CSRF, session hijacking).
- Zkušenost s forenzními výstupy a reportováním incidentů a nálezů v souladu s požadavky regulatorních rámců.
- Nezávislost testovacího týmu na vývojovém týmu, provozním IT oddělení a dodavatelích infrastruktury.
Jaké požadavky stanovuje DORA v souvislosti s penetračním testováním webových aplikací?
Podle rámce DORA spadá testování webových aplikací pod tzv. „basic testing“, tedy povinné rutinní ověřování bezpečnosti systémů podporujících důležité obchodní funkce.
Mezi požadavky patří:
01
Pravidelné testování nejméně 1× ročně, případně před každým nasazením nové hlavní verze.
02
Dokumentace nálezů a návrh nápravných opatření včetně jejich následného ověření (retest) a schválení bezpečnostním vedením.
03
Zahrnutí třetích stran, pokud se podílejí na vývoji, správě nebo provozu aplikace (např. outsourcing vývoje, cloudové hostování).
Jak testování probíhá v praxi?
Stanovení rozsahu testu
Definice cílové webové aplikace, typů funkcionalit, přístupových rozhraní (např. frontend, REST API) a typů testů (autentizovaný / neautentizovaný, black / grey / white box přístup).
Příprava technického scénáře
Výběr vhodných nástrojů a technik na základě použité technologie a typu aplikace.
Realizace simulovaných útoků
Testování z pohledu útočníka (pokusy o SQL injection, Cross-Site Scripting (XSS), neoprávněný přístup, obcházení autentizace nebo zneužití aplikační logiky).
Zaznamenání a analýza výsledků
Vyhodnocení nálezů podle jejich dopadu a pravděpodobnosti zneužití, prioritizace zranitelností podle CVSS.
Reporting a doporučení
Vypracování technické zprávy s detailním popisem útoků, dopady a doporučeními, doplněná manažerským shrnutím pro vedení.
Follow-up
Konzultace nad výsledky, doporučení ke změnám v kódu nebo architektuře, případný retest po implementaci nápravných opatření.
Proč spolupracovat s BDO?
BDO poskytuje penetrační testy webových aplikací jako součást ucelené bezpečnostní strategie. Pomáháme organizacím odhalit a opravit technické slabiny dříve, než je zneužijí reální útočníci. Využíváme kombinaci manuálních testů, skriptované automatizace a znalosti reálných útokových technik.
01 Znalost regulatorního rámce
Rozumíme požadavkům DORA i NIS2 a umíme testy přizpůsobit tak, aby výstupy byly využitelné při dohledu i auditu. Pomáháme nastavit testovací strategii a zajišťujeme její soulady s ostatními typy testování (TLPT, penetrační testy).
02 Nezávislost a důvěryhodnost
Jako nezávislá poradenská firma nemáme vlastní technologie a nabízíme skutečně objektivní hodnocení. Spolupráce s BDO je pro regulátory i klienty jasným signálem kvality a důvěry.
03 Certifikovaný tým s expertní praxí
Naši specialisté vlastní certifikace OSCP, CRTP, eCPPT, BSCP, CEH, CRT, CPSA, CISSP, CCISO a další. Mají zkušenosti s testováním velkých bank, pojišťoven i ICT poskytovatelů.
