What is a pentest in simple terms?

A pentest is a legal simulation of a real cyber attack. Specialists try to hack into your systems under contract to identify weaknesses before actual attackers find them.

How long does a pentest take?

Typically 2 to 6 weeks depending on scope: a single web application takes around 2 weeks, complex infrastructure or Red Team engagements run 4 to 6 weeks.

Is it safe to run a pentest on a live production system?

Yes. We agree on scope, timing, and methods in advance, use safe techniques, and can work against a production replica when needed.

What do I get at the end?

A detailed report with vulnerability descriptions, proof-of-concept exploits, CVSS scoring, and step-by-step remediation guidance.

ما بررسی می‌کنیم که آیا مهاجمان از کسب‌وکار شما نفوذ می‌کنند قبل از اینکه شما متوجه شوید.

PWN-ALL تیمی از هکرهای اخلاقی است. ما به صورت قانونی به سیستم‌های شما حمله می‌کنیم تا قبل از اینکه هکرهای واقعی آن‌ها را پیدا کنند، آسیب‌پذیری‌ها را بیابیم.

درخواست حسابرسی پنتست چیست؟

افشای آسیب‌پذیری‌های امنیتی بحرانی: ۳۴۰+
مشتریان امن‌شده: ۱۲۰+
میانگین زمان آماده‌سازی گزارش: ۱۴روز

چشم‌انداز تهدیدها · امروز

اعداد پشت
هر نفوذ.

۶۰٪

۶۰٪ از نقض‌ها شامل عنصر انسانی هستند

۴۴٪

از نفوذها شامل باج‌افزار هستند

↑ ۳۷٪ نسبت به سال قبل

۸۸٪

۴۴٪ از حملات به برنامه‌های وب از اطلاعات کاربری دزدیده‌شده استفاده می‌کنند

+۳۴٪

افزایش چشمگیر در بهره‌برداری از آسیب‌پذیری‌ها

۳۰٪

از نقض‌های امنیتی اکنون شامل اشخاص ثالث می‌شوند — دو برابر نسبت به سال گذشته

۲۲٬۰۵۲

حادثه امنیتی تحلیل‌شده در سراسر جهان

ده مورد برتر OWASP✱ PTES✱ NIST SP 800-115✱ MITRE ATT&CK✱ عملیات تیم قرمز✱ تحقیقات روز صفر✱ OWASP Top 10✱ PTES✱ NIST SP 800-115✱ MITRE ATT&CK✱ عملیات تیم قرمز✱ تحقیقات روز صفر✱

۰۱ /

پنتست چیست؟
بررسی قفل
برای درِ دیجیتال شما.

تمثیل خانه

قبل از اینکه به خانه‌ی جدید نقل مکان کنید، قفل‌ها، پنجره‌ها و سیستم هشدار را بررسی می‌کنید. یک آزمون نفوذ دقیقاً همین کار را انجام می‌دهد — اما برای وب‌سایت، اپلیکیشن و شبکه‌ی شما.

حمله کنترل‌شده

متخصصان ما زیرساخت شما را دقیقاً مانند یک هکر واقعی مورد حمله قرار می‌دهند — اما تحت قرارداد، بدون ایجاد خسارت و با ارائه گزارش کامل در پایان.

گزارش + اصلاح

شما یک گزارش دقیق دریافت می‌کنید: آنچه یافتیم، میزان خطر آن، و نحوه رفع آن. بدون مطالب اضافی — فقط اقدامات.

بدون تست نفوذ

شما پس از رخنه از وجود حفره مطلع می‌شوید

⚠ نشت داده‌های مشتری
⚠ توقف کسب‌وکار در ساعات اوج
⚠ جریمه‌های نظارتی
⚠ آسیب به اعتبار

سطح ریسک

۹۲٪

با تست نفوذ

شما قبل از حمله، حفره‌ها را می‌بندید

✓ آسیب‌پذیری‌ها یافت و برطرف شدند
✓ تیم می‌داند چگونه پاسخ دهد
✓ انطباق با استانداردهای امنیتی
✓ اعتماد مشتریان و شرکا

سطح ریسک

۱۴٪

۰۲ /

نحوه کار.
پنج گام تا زیرساخت امن.

01

دامنه و خلاصه

ما در مورد اینکه چه چیزی را باید آزمایش کنیم، کدام سیستم‌ها حیاتی هستند و مرزها کجا هستند، بحث می‌کنیم. ما یک قرارداد عدم افشا (NDA) امضا می‌کنیم و بر سر قوانین تعامل توافق می‌کنیم.
۱–۳ روز
۰۲

شناسایی و نقشه‌برداری

ما سطح حمله را نقشه‌برداری می‌کنیم: کدام سرویس‌ها در معرض دید قرار دارند، از چه فناوری‌هایی استفاده می‌شود و نقاط ورود ضعیف کجا هستند.
۳–۵ روز
03

سوءاستفاده

ما آسیب‌پذیری‌ها را به‌طور ایمن بهره‌برداری می‌کنیم: بررسی می‌کنیم که یک مهاجم واقعی تا چه حد می‌تواند به‌طور واقع‌بینانه وارد سیستم‌های شما شود.
۵–۱۴ روز
۰۴

ارائه گزارش

ما گزارشی دو سطحی ارائه می‌دهیم: یک خلاصه اجرایی برای مدیریت ارشد و جزئیات فنی برای تیم مهندسی.
۳–۵ روز
05

آزمون مجدد و پشتیبانی

پس از اعمال اصلاحات شما، یک آزمون مجدد انجام می‌دهیم تا از بسته شدن حفره‌ها اطمینان حاصل کنیم. برای پاسخ به سوالات در دسترس هستیم.
۲–۳ روز

۰۳ /

محل بازی.
خودتان آن را هک کنید.

چهار دمو عملی که نشان می‌دهد مهاجمان چگونه نقاط ضعف را پیدا می‌کنند — و چقدر از این کار در عرض چند ثانیه اتفاق می‌افتد. هر یک از آن‌ها ایمن است، در مرورگر شما اجرا می‌شود و ۱۰۰٪ بی‌ضرر است.

دور ۱ از ۱۰ امتیاز ۰ از ۱۰ آسان

نحوه بازی

ده قطعه کد واقعی از آسان تا سخت در زبان‌های PHP، پایتون، Node.js، Rust، Go و SQL. برخی یک آسیب‌پذیری کلاسیک را پنهان می‌کنند، برخی صرفاً منطق پیچیده‌ای دارند و برخی واقعاً تمیز هستند. آنچه می‌بینید را علامت‌گذاری کنید — به ازای هر فراخوانی صحیح یک امتیاز.

امتیازدهی

۹–۱۰/۱۰ — شما در مصاحبه ارشد امنیت برنامه‌ها قبول می‌شوید.
۶–۸/۱۰ — بازبینی‌کننده قوی، جای پیشرفت دارد.
۳–۵/۱۰ — مبانی هست، اما موارد ظریف جا می‌افتند.
۰–۲/۱۰ — امشب مخزن‌تان را برای md5() با grep جستجو کنید.

به دنبال چه مواردی بگردیم

انجکت (SQL، فرمان، NoSQL) · احراز هویت شکسته · اطلاعات مخفی هاردکدشده · افشای اطلاعات (IDOR) · SSRF · عبور از مسیر (path traversal) · رمزنگاری ضعیف · شرایط مسابقه‌ای · سریالی‌سازی ناامن · عدم وجود بررسی‌های احراز هویت.

hydra -L users.txt -P common-list-100k.txt BRUTE

هدف https://acme-corp.local/login

فهرست واژگان common-list-100k.txt (۹۹٬۷۳۸ مورد)

کاربران مدیر · ریشه · کاربر · جری · سارا · مایک

// برای شروع شبیه‌سازی روی «شروع حمله» کلیک کنید

چه اتفاقی افتاد

یک حمله کلاسیک تزریق اعتبارنامه‌ها. مهاجم یک فهرست ۱۰۰ هزار رمز عبور را روی نام‌های کاربری رایج اجرا می‌کند. وقتی خطای ۴۰۳ شروع به بازگشت می‌کند — معمولاً به‌خاطر محدودسازی نرخ — ابزار از میان مجموعه پروکسی‌ها جابه‌جا می‌شود و به کار خود ادامه می‌دهد.

پرچم قرمز

بدون WAF · بدون محدودیت نرخ · بدون تشخیص ناهنجاری

هزاران ورود ناموفق از آی‌پی‌های متغیر باید هر داشبوردی را هشدار دهد. در اینجا، هیچ هشداری صادر نمی‌شود. در نهایت یک رمز عبور درست از آب درمی‌آید.

دفاع

محدودسازی بر اساس حساب کاربری (نه IP)، افزودن احراز هویت چندعاملی (MFA)، هشدار در مورد ناهنجاری‌های جغرافیایی، مسدود کردن استخرهای پروکسی شناخته‌شده و درخواست CAPTCHA پس از N بار شکست.

دور ۱ از ۱۰ امتیاز ۰ از ۱۰

۱۰ طعمه فیشینگ مدرن

ده سناریو بر اساس برترین تکنیک‌های مشاهده‌شده در سال‌های ۲۰۲۵–۲۰۲۶: OAuth device-code، QR-code quishing، سوءاستفاده از تقویم/ملاقات/فرم‌های گوگل، پروکسی‌های معکوس AiTM، کلاسیک BEC، ویشینگ با کپی صدا و کلاهبرداری صوتی با هوش مصنوعی و جعل شماره تماس VoIP، و موارد دیگر. یک دور = یک الگوی واقعی.

امتیازدهی

۹–۱۰/۱۰ — شما این موارد را در محیط تولید شناسایی می‌کردید.
۶–۸/۱۰ — غریزه قوی، نیاز به تقویت.
۳–۵/۱۰ — پیاده‌سازی MFA مقاوم در برابر فیشینگ در برنامه شما قرار دارد.
۰–۲/۱۰ — صندوق ورودی ایمیل شما در آستانه یک نفوذ امنیتی است.

واقعیت جدید

فیشینگ دیگر فقط به ایمیل محدود نمی‌شود. صدا را می‌توان از ۳ ثانیه نمونه صوتی کلون کرد. شناسه تماس‌گیرنده (Caller-ID) به‌سادگی از طریق VoIP (Twilio، 3CX، Asterisk) جعل می‌شود. فیش‌های تولیدشده با هوش مصنوعی ۶۰٪ نرخ کلیک بالاتری دارند. بررسی دامنه فرستنده دیگر کافی نیست.

nmap -sV <هدف> اسکن

// یک هدف را انتخاب کرده و دکمه راه‌اندازی را فشار دهید

آنچه یک تست‌کننده نفوذ می‌بیند

در چند دقیقهٔ اول یک مأموریت، ما سرویس‌های در معرض دید، نسخه‌های آن‌ها و آسیب‌پذیری‌های شناخته‌شده (CVEها) را فهرست می‌کنیم. نرم‌افزار قدیمی‌شده آسان‌ترین موفقیت شمارهٔ یک برای مهاجمان است.

از اسکن تا نفوذ

میانگین ۴۳ ساعت

از افشای عمومی CVE تا بهره‌برداری فعال در دنیای واقعی.

curl -I <هدف> پروب

تیم‌های توسعه کد را سریع منتشر می‌کنند و گاهی فراموش می‌کنند که پس از آن را پاکسازی کنند. یک مسیر فراموش‌شده را انتخاب کنید و ببینید یک مهاجم در پشت آن چه می‌یابد.

dev.acme-corp.com

// برای بررسی یک مسیر، روی آن کلیک کنید

چه خبر است

هر مسیر یک دسته‌بندی نشت واقعی است. مهاجمان ابزارهایی مانند dirsearch یا ffuf را اجرا می‌کنند که در عرض چند ثانیه هزاران مورد از این‌ها را امتحان می‌کنند — اگر هر کدام پاسخ 200 OK برگرداند، بازی تمام است.

پیامد

یک پوشه .git در معرض دید به یک مهاجم اجازه می‌دهد تا کل تاریخچه کد منبع شما را بازسازی کند — از جمله کامیت‌های حذف‌شده حاوی اطلاعات محرمانه.

دفاع

فایل‌های dot و مسیرهای توسعه را در لبه (nginx / WAF) مسدود کنید، اسکنرهای نشت خودکار را در CI اجرا کنید و اجرای ساخت تمیز را الزامی سازید.

subfinder -d <domain> | httpx RECON

// برای راه‌اندازی کشف زیردامنه، enumerate را فشار دهید

اولین حرکت مهاجم

قبل از هر چیز، یک تست‌کننده نفوذ سطح حمله شما را نقشه‌برداری می‌کند. هر زیر دامنه فراموش‌شده یک نقطه نفوذ بالقوه است — یک سرور واسطه، یک ابزار داخلی قدیمی، یک ویکی.

نحوه کار

subfinder > dnsx > httpx > nuclei

لاگ‌های شفافیت گواهی، brute-forcing دامنه‌ای (DNS)، و منابع غیرفعال، زیردامنه‌هایی را که دیگر کسی به انتشارشان یادش نمی‌آید، استخراج می‌کنند.

به دنبال موارد زیر باشید

هر چیزی که برچسب dev، staging، test، old یا admin داشته باشد. آن‌ها به ندرت از استحکام امنیتی سایت اصلی شما برخوردارند.

cve-radar :: آسیب‌پذیری‌های بهره‌برداری‌شده ۲۰۲۵–۲۰۲۶ LIVE

← برای مشاهده زنجیره حمله، یک CVE را در سمت چپ انتخاب کنید.

نحوه استفاده

شش آسیب‌پذیری واقعی که در دنیای واقعی مورد بهره‌برداری قرار گرفته‌اند، از سال‌های ۲۰۲۵–۲۰۲۶. روی یکی کلیک کنید تا زنجیره حمله را گام به گام ببینید، سپس روی «آیا من در معرض خطر هستم؟» کلیک کنید تا سوالات شاخصی را که یک حسابرس از تیم شما می‌پرسد، مشاهده کنید.

چرا این فهرست؟

هر مورد در اینجا دارای یک فهرست فعال CISA KEV یا بهره‌برداری گسترده تأییدشده است. این‌ها نظری نیستند — این‌ها حملاتی هستند که SOC شما باید از قبل در حال شکار آن‌ها باشد.

الگوی سال

پیش‌احراز RCE و اصول نشت اعتبارنامه‌ها بر سال ۲۰۲۵ تسلط داشتند. بازه‌های وصله‌زنی بین افشا و بهره‌برداری در دنیای واقعی به ۴۳ ساعت کاهش یافت.

mobscan :: تحلیل ایستا (.apk / .ipa) MOBSF

یک برنامه را برای اسکن انتخاب کنید

هیچ اپلیکیشنی انتخاب نشده است

// یک برنامه را از بالا انتخاب کرده و دکمه «شروع اسکن» را برای شروع تحلیل ایستا فشار دهید

در واقع این کار را انجام می‌دهد

تست‌کننده‌های نفوذ موبایل واقعی آرشیوهای .apk / .ipa را استخراج می‌کنند (که در واقع فقط فایل‌های ZIP هستند)، با ابزارهایی مانند jadx، apktool یا MobSF بایت‌کد را بازتولید می‌کنند، سپس سورس بازتولیدشده را با دستور grep برای یافتن اسرار، نقاط انتهایی و الگوهای ناامن جست‌وجو می‌کنند.

چرا این موضوع اهمیت دارد

طبق گزارش تهدیدات موبایل ۲۰۲۵ شرکت Zimperium، تقریباً نیمی از اپلیکیشن‌های موبایل هنوز حاوی اطلاعات مخفی کدگذاری‌شده هستند، ۶۰٪ از اپلیکیشن‌های iOS هیچ محافظتی در برابر مهندسی معکوس ندارند، و از هر ۳ اپلیکیشن اندروید، ۱ اپلیکیشن داده‌های حساس را نشت می‌دهد.

آنچه ما به دنبال آن هستیم

کلیدها و توکن‌های API سخت‌کدشده · اسرار AWS/Stripe/Firebase · انتهای‌های بک‌اند خصوصی · پرچم‌های دیباگ باقی‌مانده · غیرفعال بودن پینینگ گواهی‌نامه · نبود هدرهای محدودکننده نرخ · allowBackup="true" · فعالیت‌های exported="true".

۰۴ /

خدمات.
برای هر سطح حمله.

آزمون نفوذ وب

آزمون اپلیکیشن وب و API بر اساس روش‌شناسی OWASP. تزریق SQL، XSS، IDOR، SSRF، نقص‌های منطقی — هر آنچه یک مهاجم می‌تواند از آن بهره‌برداری کند.

— ده مورد برتر OWASP + منطق کسب‌وکار
— احراز هویت شده و بدون احراز هویت
— API / GraphQL / WebSocket
— تحلیل دستی + خودکار

محبوب

آزمون نفوذ شبکه‌ای

محیط پیرامونی خارجی و داخلی. ما بررسی می‌کنیم که یک مهاجم تا چه حد می‌تواند پیشروی کند — از اینترنت، یا پس از ورود به دفتر.

— خارجی و داخلی
— نفوذ به AD / دامنه
— ارتقای امتیاز
— حرکت جانبی

۰۳

تیم قرمز

شبیه‌سازی تمام‌دامنه‌ای APT. مهندسی اجتماعی، فیشینگ، دسترسی فیزیکی — ما نه تنها سیستم‌ها، بلکه افراد شما را نیز آزمایش می‌کنیم.

— تاکتیک‌ها، تکنیک‌ها و رویه‌های MITRE ATT&CK
— فیشینگ و ویشینگ
— نفوذ فیزیکی
— همکاری تیم بنفش

۰۵ /

چرا PWN-ALL.

ما یک اسکنر آسیب‌پذیری نیستیم. ما تیمی هستیم که مانند یک مهاجم فکر می‌کند. هر پروژه توسط مهندسانی با تجربه واقعی در تیم قرمز و شکار باگ هدایت می‌شود.

۹۵٪
۹۵٪ یافته‌های حیاتی در ۲ هفته اول آشکار می‌شوند: ۱۲۰+
شرکت‌ها زیرساخت خود را به ما سپردند: ۳۴۰+
CVEهای بحرانی مستندشده در گزارش‌های ما: ۷۲h
حداکثر زمان پاسخگویی برای درخواست‌های فوری

ریسک در مقابل زمان — پس از تست نفوذ

بالامتوسطپایین

هفتهٔ ۲

هفتهٔ ۳

هفتهٔ ۴

بدون پنتست خطر به طور مداوم بالا باقی می‌ماند — پس از ممیزی ما در عرض یک ماه ۷۸٪ کاهش می‌یابد.

۰۶ /

آماده‌اید ببینید
زیرساخت شما را از دید یک مهاجم؟ مستقیماً به ما پیام دهید — بدون فرم، بدون دردسر. مشاوره ۳۰ دقیقه‌ای رایگان، تعیین محدوده و برآورد زمان‌بندی ظرف یک روز کاری.

مستقیماً با ما در تماس باشید — بدون فرم و بدون دردسر. مشاوره ۳۰ دقیقه‌ای رایگان، تعیین محدوده و برآورد زمان‌بندی در یک روز کاری.

✓ ما ابتدا قرارداد عدم افشا را امضا می‌کنیم
✓ بدون هرزنامه، بدون تماس‌های سرد
✓ پاسخ ظرف ۲۴ ساعت

// pick_a_channel

ایمیل hello@pwn-all.com pgp

امضا کانال رمزگذاری‌شده

nda_first · پاسخ < ۲۴ ساعت · تماس_فروش_نه

ما بررسی می‌کنیم که آیا مهاجمان از کسب‌وکار شما نفوذ می‌کنند قبل از اینکه شما متوجه شوید.

تمثیل خانه

حمله کنترل‌شده

گزارش + اصلاح

دامنه و خلاصه

شناسایی و نقشه‌برداری

سوءاستفاده

ارائه گزارش

آزمون مجدد و پشتیبانی

—

—

ریسک در مقابل زمان — پس از تست نفوذ