What is a pentest in simple terms?

A pentest is a legal simulation of a real cyber attack. Specialists try to hack into your systems under contract to identify weaknesses before actual attackers find them.

How long does a pentest take?

Typically 2 to 6 weeks depending on scope: a single web application takes around 2 weeks, complex infrastructure or Red Team engagements run 4 to 6 weeks.

Is it safe to run a pentest on a live production system?

Yes. We agree on scope, timing, and methods in advance, use safe techniques, and can work against a production replica when needed.

What do I get at the end?

A detailed report with vulnerability descriptions, proof-of-concept exploits, CVSS scoring, and step-by-step remediation guidance.

আমরা পরীক্ষা করব আক্রমণকারীরা আপনার ব্যবসায় প্রবেশ করেছেকি না, আপনি করার আগেই।

PWN-ALL হল নৈতিক হ্যাকারদের একটি দল। আমরা আইনগতভাবে আপনার সিস্টেমে আক্রমণ করি বাস্তব আক্রমণকারীরা খুঁজে পাওয়ার আগে দুর্বলতাগুলো খুঁজে বের করতে।

অডিট অনুরোধ করুন পেন্টেস্ট কী?

গুরুত্বপূর্ণ CVE-গুলো প্রকাশ করা হয়েছে: ৩৪০+
ক্লায়েন্ট সুরক্ষিত: 120+
গড় রিপোর্ট প্রাপ্তির সময়: 14দিন

আজকের হুমকি পরিস্থিতি

পেছনের সংখ্যা
প্রতিটি লঙ্ঘন।

৬০%

ভঙ্গের ৬০% ক্ষেত্রেই মানবিক উপাদান জড়িত

৪৪%

ভঙ্গের 44% র‍্যানসমওয়্যার জড়িত

↑ ৩৭% YoY

৮৮%

ওয়েব-অ্যাপ আক্রমণের 88% চুরিকৃত শংসাপত্র ব্যবহার করে

+৩৪%

দুর্বলতা শোষণে বৃদ্ধি

৩০%

ভঙ্গ ঘটনার ৩০% এখন তৃতীয় পক্ষকে জড়িত করে — গত বছরের তুলনায় দ্বিগুণ

২২,০৫২

বিশ্বব্যাপী বিশ্লেষিত নিরাপত্তা ঘটনা

OWASP টপ ১০✱ PTES✱ NIST SP 800-115✱ MITRE ATT&CK✱ রেড টিম অপস✱ জিরো ডে রিসার্চ✱ OWASP টপ ১০✱ PTES✱ NIST SP 800-115✱ MITRE ATT&CK✱ রেড টিম অপস✱ জিরো ডে রিসার্চ✱

01 /

একটি পেন্টেস্ট হল
লক পরীক্ষা
আপনার ডিজিটাল দরজার লক পরীক্ষা।

ঘরের উপমা

নতুন বাড়িতে ওঠার আগে আপনি তালা, জানালা এবং অ্যালার্ম সিস্টেম পরীক্ষা করেন। একটি পেনটেস্ট ঠিক সেটাই করে — তবে আপনার ওয়েবসাইট, অ্যাপ্লিকেশন এবং নেটওয়ার্কের জন্য।

নিয়ন্ত্রিত আক্রমণ

আমাদের বিশেষজ্ঞরা ঠিক যেমন একজন প্রকৃত হ্যাকার আক্রমণ করতো, ঠিক তেমনভাবেই আপনার অবকাঠামো আক্রমণ করে — তবে চুক্তির আওতায়, কোনো ক্ষতি ছাড়াই, এবং শেষে একটি পূর্ণাঙ্গ প্রতিবেদনসহ।

প্রতিবেদন + প্রতিকার

আপনি একটি বিস্তারিত প্রতিবেদন পাবেন: আমরা কী খুঁজে পেয়েছি, তা কতটা বিপজ্জনক, এবং কীভাবে তা ঠিক করতে হবে। কোনো অপ্রয়োজনীয় কথা নেই — শুধুমাত্র প্রয়োজনীয় পদক্ষেপ।

পেন্টেস্ট ছাড়া

আপনি লঙ্ঘনের পরই ফাঁক সম্পর্কে জানতে পারেন

⚠ গ্রাহকের ডেটা ফাঁস
⚠ ব্যস্ত সময়ে ব্যবসায়িক ডাউনটাইম
⚠ নিয়ন্ত্রক জরিমানা
⚠ সুনামের ক্ষতি

ঝুঁকি স্তর

৯২%

পেন্টেস্টের সাথে

আপনি আক্রমণের আগে ছিদ্রগুলো বন্ধ করেন

✓ দুর্বলতাগুলো খুঁজে বের করে মেরামত করা হয়েছে
✓ দল জানে কীভাবে প্রতিক্রিয়া জানাতে হয়
✓ নিরাপত্তা মানদণ্ডের সাথে সম্মতি
✓ ক্লায়েন্ট এবং অংশীদারদের বিশ্বাস

ঝুঁকি স্তর

14%

০২ /

এটি কীভাবে কাজ করে।
নিরাপদ অবকাঠামোর জন্য পাঁচটি ধাপ ।

01

পরিসীমা নির্ধারণ ও সারসংক্ষেপ

আমরা কী পরীক্ষা করতে হবে, কোন সিস্টেমগুলো গুরুত্বপূর্ণ, এবং সীমারেখা কোথায় তা নিয়ে আলোচনা করি। আমরা একটি এনডিএ স্বাক্ষর করি এবং সম্পৃক্ততার নিয়মাবলীতে সম্মত হই।
১–৩ দিন
02

তথ্য সংগ্রহ ও ম্যাপিং

আমরা আক্রমণ পৃষ্ঠ মানচিত্র করি: কোন সার্ভিসগুলো উন্মুক্ত, কোন প্রযুক্তিগুলো ব্যবহৃত হচ্ছে, এবং দুর্বল প্রবেশদ্বারগুলো কোথায়।
৩–৫ দিন
03

শোষণ

আমরা নিরাপদে দুর্বলতাগুলো শোষণ করি: আমরা অনুসন্ধান করি একটি বাস্তব আক্রমণকারী আপনার সিস্টেমের ভিতরে কতদূর যেতে পারে।
৫–১৪ দিন
04

রিপোর্টিং

আমরা দুই-স্তরের প্রতিবেদন প্রদান করি: নেতৃত্বের জন্য একটি নির্বাহী সারসংক্ষেপ এবং ইঞ্জিনিয়ারিং দলের জন্য প্রযুক্তিগত বিবরণ।
৩–৫ দিন
05

পুনঃপরীক্ষা ও সহায়তা

আপনার সংশোধনের পর, আমরা ছিদ্রগুলো বন্ধ হয়েছে কিনা তা নিশ্চিত করতে পুনরায় পরীক্ষা চালাই। আমরা প্রশ্নের জন্য সর্বদা উপলব্ধ থাকি।
২–৩ দিন

০৩ /

খেলার মাঠ।
নিজেই এটিতে আক্রমণ করে দেখুন।

চারটি হাতে-কলমে ডেমো দেখায় কীভাবে আক্রমণকারীরা দুর্বলতা খুঁজে বের করে — এবং এর কতটা অংশ সেকেন্ডের মধ্যে ঘটে। প্রতিটি নিরাপদ, আপনার ব্রাউজারে চলে, এবং ১০০% নির্দোষ।

রাউন্ড ১ / ১০ স্কোর 0/10 সহজ

কিভাবে খেলবেন

PHP, Python, Node.js, Rust, Go এবং SQL জুড়ে সহজ থেকে কঠিন দশটি বাস্তব-বিশ্বের কোড স্নিপেট। কিছুতে ক্লাসিক দুর্বলতা লুকিয়ে আছে, কিছুতে জটিল লজিক, কিছু সত্যিই পরিষ্কার। আপনি যা দেখেন তা ফ্ল্যাগ করুন — প্রতিটি সঠিক কল প্রতি এক পয়েন্ট।

স্কোরিং

9–10/10 — আপনি সিনিয়র অ্যাপসিকিউরিটি ইন্টারভিউতে উত্তীর্ণ হবেন।
৬–৮/১০ — দৃঢ় পর্যালোচক, আরও তীক্ষ্ণ করার সুযোগ আছে।
3–5/10 — মৌলিক বিষয়গুলো আছে, সূক্ষ্ম বিষয়গুলো ফসকে যায়।
0–2/10 — আজ রাতে আপনার রিপোতে md5() খুঁজুন।

কি দেখতে হবে

ইনজেকশন (SQL, কমান্ড, NoSQL) · ভাঙা অথেন্টিকেশন · হার্ডকোডেড সিক্রেটস · IDOR · SSRF · পাথ ট্র্যাভার্সাল · দুর্বল ক্রিপ্টোগ্রাফি · রেস কন্ডিশন · অনিরাপদ ডিসেরিয়ালিজেশন · অনুপস্থিত অথেন্টিকেশন চেক।

hydra -L users.txt -P common-list-100k.txt ব্রুট

লক্ষ্য https://acme-corp.local/login

ওয়ার্ডলিস্ট common-list-100k.txt (৯৯,৭৩৮ এন্ট্রি)

ব্যবহারকারীরা admin · root · user · jerry · sarah · mike

// সিমুলেশন শুরু করতে "আক্রমণ শুরু করুন" চাপুন

এখনই কী ঘটল

একটি ক্লাসিক ক্রেডেনশিয়াল-স্টাফিং আক্রমণ। আক্রমণকারী সাধারণ ব্যবহারকারীর নামগুলোর জন্য ১০০ হাজার পাসের একটি পাসওয়ার্ড ওয়ার্ডলিস্ট ছুড়ে দেয়। যখন ৪০৩ স্ট্যাটাস ফিরে আসতে শুরু করে—সাধারণত রেট-লিমিটিংয়ের কারণে—টুলটি প্রক্সি পুল থেকে প্রক্সি পরিবর্তন করে চলতে থাকে।

লাল পতাকা

WAF নেই · রেট-লিমিট নেই · কোনো অস্বাভাবিকতা সনাক্তকরণ নেই

ঘূর্ণায়মান আইপি থেকে হাজার হাজার ব্যর্থ লগইন প্রতিটি ড্যাশবোর্ডে সতর্কতা জাগিয়ে তোলা উচিত। এখানে কিছুই সক্রিয় হয় না। অবশেষে একটি পাসওয়ার্ড মিলিয়ে যায়।

প্রতিরক্ষা

প্রতি অ্যাকাউন্টে রেট-লিমিট (আইপি নয়), MFA যোগ করুন, ভৌগোলিক অস্বাভাবিকতার জন্য সতর্কতা, পরিচিত প্রক্সি পুলগুলো ব্লক করুন, এবং Nটি ব্যর্থতার পর CAPTCHA বাধ্যতামূলক করুন।

পর্ব ১ / ১০ স্কোর 0/10

১০টি আধুনিক ফিশিং ফাঁদ

২০২৫–২০২৬ সালে পর্যবেক্ষিত শীর্ষ কৌশলগুলির উপর ভিত্তি করে দশটি পরিস্থিতি: OAuth ডিভাইস-কোড, QR-কোড কুশিং, Google ক্যালেন্ডার/মিট/ফর্মসের অপব্যবহার, AiTM রিভার্স প্রক্সি, ক্লাসিক BEC, AI ভয়েস-ক্লোন ভিশিং সহ VoIP কলার-আইডি স্পুফিং, এবং আরও অনেক কিছু। এক রাউন্ড = একটি বাস্তব-বিশ্বের প্যাটার্ন।

স্কোরিং

৯–১০/১০ — আপনি এগুলো প্রোডাকশনে ধরতে পারবেন।
৬–৮/১০ — দৃঢ় স্বজ্ঞা, আরও তীক্ষ্ণ করার সুযোগ আছে।
৩–৫/১০ — আপনার রোডম্যাপে একটি ফিশ-প্রতিরোধী MFA মোতায়েন রয়েছে।
0–2/10 — আপনার মেইলবক্স একটি অপেক্ষমাণ লঙ্ঘন।

নতুন বাস্তবতা

ফিশিং আর শুধুমাত্র ইমেইল নয়। ৩ সেকেন্ডের অডিও থেকে ভয়েস ক্লোন করা যায় । VoIP (Twilio, 3CX, Asterisk) এর মাধ্যমে কলার-আইডি সহজেই ছদ্মবেশ করা যায়। AI-উৎপাদিত ফিশের ক্লিক রেট ৬০% বেশি। প্রেরকের ডোমেইন যাচাই করা আর যথেষ্ট নয়।

nmap -sV <target> স্ক্যান

// একটি লক্ষ্য নির্বাচন করুন এবং লঞ্চ চাপুন

একজন পেনটেস্টার যা দেখেন

একটি এনগেজমেন্টের প্রথম কয়েক মিনিটে আমরা উন্মুক্ত সার্ভিসগুলো, তাদের সংস্করণ এবং পরিচিত CVE-গুলো তালিকাভুক্ত করি। পুরনো সফটওয়্যার আক্রমণকারীদের জন্য #১ সহজ বিজয়।

স্ক্যান থেকে অনুপ্রবেশ

গড়ে ৪৩ ঘণ্টা

জনসাধারণের CVE প্রকাশ থেকে প্রকৃতপক্ষে সক্রিয় শোষণ পর্যন্ত।

curl -I <target> প্রোব

ডেভ দলগুলো দ্রুত কোড পুশ করে এবং মাঝে মাঝে পরিষ্কার করতে ভুলে যায়। একটি ভুলে যাওয়া পথ বেছে নিন এবং দেখুন একজন আক্রমণকারী এর পিছনে কী খুঁজে পায়।

dev.acme-corp.com

// উপরের কোনো পাথে ক্লিক করে তা পরীক্ষা করুন

কি ঘটছে

প্রতিটি পথই বাস্তব-বিশ্বের একটি লিক ক্যাটাগরি। আক্রমণকারীরা dirsearch বা ffuf-এর মতো টুল চালায়, যা সেকেন্ডের মধ্যে হাজার হাজারটি পরীক্ষা করে — যদি কোনো হিট 200 OK রিটার্ন করে, তাহলে খেলা শেষ।

পরিণাম

একটি উন্মুক্ত .git ফোল্ডার একজন আক্রমণকারীকে আপনার সম্পূর্ণ সোর্স কোডের ইতিহাস পুনর্গঠন করতে দেয় — গোপনীয় তথ্যসহ মুছে ফেলা কমিটগুলোও।

প্রতিরক্ষা

এজে ডটফাইলস ও ডেভ পাথ ব্লক করুন (nginx/WAF), CI-তে স্বয়ংক্রিয় লিক স্ক্যানার চালান, এবং পরিচ্ছন্ন বিল্ড আর্টিফ্যাক্ট প্রয়োগ করুন।

subfinder -d <domain> | httpx RECON

// সাবডোমেইন আবিষ্কার চালু করতে enumerate চাপুন

আক্রমণকারীর প্রথম পদক্ষেপ

সবকিছুর আগে, একটি পেন্টেস্টার আপনার আক্রমণ পৃষ্ঠ (attack surface) ম্যাপ করে। প্রতিটি ভুলে যাওয়া সাবডোমেইনই একটি সম্ভাব্য প্রবেশপথ — একটি স্টেজিং সার্ভার, একটি পুরনো অভ্যন্তরীণ টুল, একটি উইকি।

এটি কীভাবে কাজ করে

subfinder > dnsx > httpx > nuclei

সার্টিফিকেট ট্রান্সপারেন্সি লগ, DNS ব্রুট-ফোর্সিং, এবং প্যাসিভ সোর্সগুলো এমন সাবডোমেইনগুলো খুঁজে বের করে যা কেউ প্রকাশ করেছিল কিন্তু আর মনে রাখে না।

নিম্নলিখিতগুলির দিকে নজর রাখুন

dev, staging, test, old বা admin লেবেলযুক্ত যেকোনো কিছু। এগুলোতে প্রায়ই আপনার প্রধান সাইটের মতো নিরাপত্তা জোরদার করা থাকে না।

cve-radar :: 2025–2026 শোষিত দুর্বলতা লাইভ

← আক্রমণ চেইন দেখতে বামে একটি CVE নির্বাচন করুন।

কিভাবে ব্যবহার করবেন

২০২৫–২০২৬ সালের ছয়টি বাস্তব, মাঠে শোষিত দুর্বলতা। একটিতে ক্লিক করে আক্রমণ শৃঙ্খল অনুসরণ করুন, তারপর 'আমি কি উন্মুক্ত?' চাপুন, দেখুন একজন নিরীক্ষক আপনার দলের কাছে যে স্বাক্ষরিত প্রশ্নগুলো করবেন।

কেন এই তালিকা

প্রতিটি এন্ট্রিরই একটি সক্রিয় CISA KEV তালিকাভুক্তি বা নিশ্চিত ব্যাপক শোষণ রয়েছে। এগুলো তাত্ত্বিক নয় — এগুলোই সেই আক্রমণ যা আপনার SOC-কে ইতিমধ্যেই খুঁজে বের করা উচিত।

বছরের নিদর্শন

প্রি-অথ RCE ও ক্রেডেনশিয়াল-লিক প্রিমিটিভস ২০২৫ সালে প্রাধান্য বিস্তার করেছিল। প্যাচ উইন্ডো প্রকাশের এবং প্রকৃতপক্ষে শোষণের মধ্যে ৪৩ ঘণ্টায় সংকুচিত হয়ে গিয়েছিল।

mobscan :: স্ট্যাটিক বিশ্লেষণ (.apk / .ipa) MOBSF

স্ক্যান করার জন্য একটি অ্যাপ নির্বাচন করুন

কোনও অ্যাপ নির্বাচন করা হয়নি

// উপরের কোনো অ্যাপ নির্বাচন করুন এবং স্ট্যাটিক বিশ্লেষণ শুরু করতে "Start scan" চাপুন

এটি আসলে কী করে

আসল মোবাইল পেনটেস্টাররা .apk / .ipa আর্কাইভগুলো (যেগুলো আসলে ZIP ফাইল) আনপ্যাক করে, jadx, apktool বা MobSF-এর মতো টুল দিয়ে বাইটকোড ডিকম্পাইল করে, তারপর ডিকম্পাইলকৃত সোর্সে গোপন তথ্য, এন্ডপয়েন্ট এবং অনিরাপদ প্যাটার্নের জন্য grep করে।

এটি কেন গুরুত্বপূর্ণ

Zimperium-এর 2025 মোবাইল থ্রেট রিপোর্ট অনুযায়ী, প্রায় অর্ধেক মোবাইল অ্যাপে এখনও হার্ডকোডেড সিক্রেট থাকে, 60% iOS অ্যাপে রিভার্স-ইঞ্জিনিয়ারিং সুরক্ষা নেই, এবং প্রতি 3টি অ্যান্ড্রয়েড অ্যাপের মধ্যে 1টি সংবেদনশীল ডেটা লিক করে।

আমরা যা খুঁজি

হার্ডকোডেড API কী ও টোকেন · AWS/Stripe/Firebase সিক্রেটস · প্রাইভেট ব্যাকএন্ড এন্ডপয়েন্ট · ডিবাগ ফ্ল্যাগ চালু থাকা · অক্ষম সার্টিফিকেট পিনিং · রেট-লিমিট হেডার অনুপস্থিত · allowBackup="true" · exported="true" অ্যাক্টিভিটি।

০৪ /

সেবা।
প্রতিটি আক্রমণ পৃষ্ঠের জন্য ।

ওয়েব পেন্টেস্ট

OWASP পদ্ধতি অনুসরণ করে ওয়েব অ্যাপ্লিকেশন ও API পরীক্ষা। SQLi, XSS, IDOR, SSRF, লজিক ত্রুটি — সবকিছুই যা একজন আক্রমণকারী কাজে লাগাতে পারে।

— OWASP টপ ১০ + ব্যবসায়িক লজিক
— প্রমাণিত ও অপ্রমাণিত
— API / GraphQL / WebSocket
— ম্যানুয়াল + স্বয়ংক্রিয় বিশ্লেষণ

জনপ্রিয়

নেটওয়ার্ক পেন্টেস্ট

বাহ্যিক ও অভ্যন্তরীণ সীমানা। আমরা পরীক্ষা করি একজন আক্রমণকারী কতদূর পৌঁছাতে পারে — ইন্টারনেট থেকে, অথবা একবার অফিসের ভিতরে প্রবেশ করার পর।

— বাহ্যিক ও অভ্যন্তরীণ
— AD / ডোমেইন দখল
— বিশেষাধিকার বৃদ্ধি
— পার্শ্বীয় গতিবিধি

০৩

রেড টিম

পূর্ণ-স্কেপ APT সিমুলেশন। সামাজিক প্রকৌশল, ফিশিং, শারীরিক প্রবেশাধিকার — আমরা শুধু সিস্টেমই নয়, আপনার মানুষদেরও পরীক্ষা করি।

— MITRE ATT&CK TTPs
— ফিশিং ও ভিশিং
— শারীরিক অনুপ্রবেশ
— পার্পল টিম সহযোগিতা

০৫ /

কেন PWN-ALL।

আমরা কোনো ভঙ্গুরতা স্ক্যানার নই। আমরা এমন একটি দল যারা আক্রমণকারীর মতো চিন্তা করে। প্রতিটি প্রকল্প পরিচালিত হয় প্রকৃত রেড টিম এবং বাগ বাউন্টি অভিজ্ঞতা সম্পন্ন ইঞ্জিনিয়ারদের দ্বারা।

৯৫%
গুরুত্বপূর্ণ ফলাফলের ৯৫% প্রথম ২ সপ্তাহের মধ্যে প্রকাশ পায়: 120+
কোম্পানিগুলো তাদের অবকাঠামো আমাদের ওপর বিশ্বাস করে দিয়েছে: ৩৪০+
আমাদের রিপোর্টগুলোতে নথিভুক্ত গুরুত্বপূর্ণ CVE-গুলো: ৭২h
জরুরি অনুরোধগুলির সর্বোচ্চ প্রতিক্রিয়া সময়

ঝুঁকি বনাম সময় — পেন্টেস্টের পর

উচ্চমাঝামাঝি✓ আমরা প্রথমে এনডিএ স্বাক্ষর করি

পেন্টেস্ট ছাড়াঝুঁকি সবসময়ই উচ্চ থাকে — আমাদের অডিটের পরএক মাসের মধ্যে তা ৭৮% কমে যায়।

06 /

দেখতে প্রস্তুত
আপনার অবকাঠামো একজন আক্রমণকারীর চোখে দেখতে প্রস্তুত?

আমাদের সরাসরি লিখুন — কোনো ফর্ম নেই, কোনো ঝামেলা নেই। বিনামূল্যে ৩০ মিনিটের পরামর্শ, পরিসীমা নির্ধারণ এবং সময়সীমা অনুমান এক কর্মদিবসের মধ্যে।

✓ আমরা প্রথমে এনডিএ স্বাক্ষর করি
✓ স্প্যাম নেই, কold কল নেই
✓ ২৪ ঘণ্টার মধ্যে উত্তর

// pick_a_channel

ইমেইল hello@pwn-all.com pgp

সংকেত এনক্রিপ্টেড চ্যানেল

nda_first · উত্তর < ২৪ ঘণ্টা · বিক্রয় কল নয়

আমরা পরীক্ষা করব আক্রমণকারীরা আপনার ব্যবসায় প্রবেশ করেছেকি না, আপনি করার আগেই।

ঘরের উপমা

নিয়ন্ত্রিত আক্রমণ

প্রতিবেদন + প্রতিকার

পরিসীমা নির্ধারণ ও সারসংক্ষেপ

তথ্য সংগ্রহ ও ম্যাপিং

শোষণ

রিপোর্টিং

পুনঃপরীক্ষা ও সহায়তা

—

—

ঝুঁকি বনাম সময় — পেন্টেস্টের পর

দেখতে প্রস্তুতআপনার অবকাঠামো একজন আক্রমণকারীর চোখে দেখতে প্রস্তুত?

দেখতে প্রস্তুত
আপনার অবকাঠামো একজন আক্রমণকারীর চোখে দেখতে প্রস্তুত?