Sebezhetőség-vizsgálat + javítás

⚠

NEM garancia arra, hogy a jövőben sem fognak feltörni

Ez egy pillanatkép-jellegű, alap szintű átvizsgálás. A vizsgálat napján van egy reális kép arról, hol állsz a leggyakoribb támadási mintákkal szemben. Új sebezhetőségek nap mint nap keletkeznek (új CVE-k, új AI-vezérelt támadási technikák) — egy egyszeri audit önmagában nem véd meg a jövőtől. A havi monitoring + karbantartás csökkenti a kockázatot, de szintén nem szünteti meg teljesen. Komolyabb compliance-igény esetén (pénzügyi, egészségügyi, állami adat) dedikált biztonsági cég, mély pentest és jogász bevonása ajánlott.

Miért most?

Az alap-támadások drasztikusan könnyebbé váltak

A legtöbb feltörés ma sem nulla-napi exploit — az ismert, javítatlan alap-rések adják. Csak épp gyorsabban találják meg őket, mint régen.

🤖

AI-tools a támadóknál

LLM-mel pillanatok alatt szkennelnek tömegesen oldalakat ismert sebezhetőségekre. Ami régen napokba telt egy embernek, ma percek alatt megvan.

📈

Több botnet, kevesebb költség

A „spray and pray" botok 0-9 USD/órás VPS-eken futnak — érdemes mindenkit megpróbálni. Nem kell célzottnak lenni, hogy célponttá válj.

🔓

Az alap-rések 80%-a megelőzhető

OWASP Top 10 — a feltörések legnagyobb része ezekből jön: XSS, SQL injection, gyenge auth, kitett admin-felületek, elavult plugin. Ezeket egy alap audittal jól ki lehet szűrni.

Mit ellenőrzünk

Kívülről és belülről is

Kétféle nézőpont. Külsős: amit egy támadó lát hozzáférés nélkül. Belsős: kódszintű átnézés, ha hozzáférést kapunk a forráskódhoz.

🌐

Kívülről — mint egy támadó

Black-box audit publikus felületen, ZAP / Burp Suite / nuclei

HTTP biztonsági fejlécek — CSP, HSTS, X-Frame-Options, X-Content-Type-Options — hiányzókat pótoljuk
SSL/TLS konfiguráció — elavult titkosítások, gyenge verziók (TLS 1.0/1.1) kiszűrése
DNS biztonsági rekordok — SPF, DKIM, DMARC ellenőrzése mail-hamisítás ellen
Nyitott portok és szolgáltatások — nmap, csak az legyen elérhető, amire szükség van
Subdomain-ek felderítése — elfelejtett, sérülékeny aldomain-ek (staging, régi tesztoldal)
Information disclosure — szerver-bannerek, verziószámok, robots.txt-ben elrejtett admin-utak
Login form védelem — brute-force védelem, rate limiting, alapértelmezett jelszavak (admin/admin)
File upload (ha van) — file típus-ellenőrzés, path traversal próbák
Form-tesztek — XSS reflection, SQL injection alap payload-okkal, CSRF token-ek
Session és cookie — Secure, HttpOnly, SameSite flag-ek beállítva-e

📦

Belülről — kódszintű átnézés

White-box review, ha hozzáférést kapunk a forráskódhoz

Függőség-frissesség — npm audit, composer audit, pip audit — ismert CVE-k a használt csomagokban
WordPress oldalak — WPScan a plugin- és téma-listán, ismert sérülékenységek
SQL lekérdezések — prepared statement használata vs. veszélyes string-konkatenáció
Felhasználói input kezelés — escaping, server-side validáció, sanitization
Jelszó-hashing — bcrypt / argon2 vs. elavult MD5 / SHA1
Beégetett titkok — API kulcsok, jelszavak, .env nyitva-e a repo-ban
File-jogosultságok — szerveren 777 katasztrófák kiszűrése
Logok — nem szivárog-e bele, ami nem kéne (pl. felhasználói jelszó plaintext-ben)
Authentikáció és jogosultság — IDOR-próbák (más felhasználó adataihoz hozzáférés azonosító-cserével)
Admin / dashboard védelem — szerepkör-ellenőrzés minden végponton, vagy csak a UI-ban?

🧠

AI-specifikus rések — ha AI-feature-öd van az oldalon

LLM prompt injection — ha chatbotod vagy AI-tool-od van, megnézzük, lehet-e becsapni a system promptot (pl. "Ignore previous instructions"). Adat-kiszivárogtatás, ár-manipuláció, perzisztens utasítások a fő veszélyek.

AI-tartalmú phishing — domain-spoofing, AI-generált hamis bejelentkező-oldalak, deepfake-szerű email-hamisítások — ezek terjedését figyelembe vesszük az audit során, és a kapcsolódó fejléceket / DNS-beállításokat keményítjük.

Hogyan dolgozunk

4 lépés az átvizsgálástól a javításig

01 Felmérés

Hatókör egyeztetés

Átküldöd az URL-t (külső audithoz elég), és opcionálisan a forráskódhoz hozzáférést. Megbeszéljük, mire koncentráljunk és mit hagyjunk ki.

02 Külső audit

Pentest-szerű próbák

Automata szkennelés (ZAP, nuclei) + manuális próbálkozás a fenti lista szerint. 4-8 óra koncentrált munka.

03 Belső audit

Kódbázis-átnézés

Függőség-CVE, kód-szintű biztonsági kérdések, konfigurációs hibák. AI-támogatott review-val gyorsabban átfutjuk a kódot.

04 Javítás + riport

Azonnali fix + PDF

Az alap-réseket javítjuk (header-ek, frissítések, kód-szintű fix-ek). PDF riport arról, mit találtunk, mit javítottunk, mi marad rád havi figyelemre.

Mit NEM tartalmaz (legyen tiszta):

Mély pentest 0-day-ekkel és egzotikus exploit-okkal
Komplex OAuth / SSO flow-k teljes auditja
Mobile app pentest (csak weboldal)
Hálózati / infrastruktúra pentest a website-on kívül
Jogi / compliance audit (PCI-DSS, ISO 27001, HIPAA)
Reverse engineering vagy bináris elemzés
Social engineering teszt (phishing-szimuláció a kollégákra)
Folyamatos / havi újra-tesztelés (külön szolgáltatás)

Árazás

Egyszeri díj, fix kiindulóár

A pontos árat a vizsgálat hatóköre adja (oldal mérete, hozzáférések, talált rések száma). Felmérés után fix árajánlatot adunk.

Sebezhetőség-vizsgálat + javítás

€350-tól

egyszeri · 1-2 munkanap teljesítés

Külső átvizsgálás a teljes lista szerint (ZAP, nuclei, manuális tesztek)
Belső kódátnézés (ha hozzáférést adsz a forráskódhoz)
Alap-rések azonnali javítása (header-ek, frissítések, kód-fix-ek)
PDF riport a találatokról és javításokról
Email-konzultáció a riport után 14 napig

Ingyenes felmérés → +36 30 515 7795

⚠ Még egyszer — fontos

Ez az átvizsgálás nem garantálja, hogy a jövőben sem fognak feltörni. Pillanatkép-jellegű audit, ami a leggyakoribb támadási mintákra szűr. Új sebezhetőségek folyamatosan keletkeznek. A havi monitoring + karbantartás csökkenti a kockázatot, de szintén nem szünteti meg. Bizalmas adatkezelésnél (egészségügy, pénzügy) dedikált biztonsági cég és jogász bevonása ajánlott.