What is a pentest in simple terms?

A pentest is a legal simulation of a real cyber attack. Specialists try to hack into your systems under contract to identify weaknesses before actual attackers find them.

How long does a pentest take?

Typically 2 to 6 weeks depending on scope: a single web application takes around 2 weeks, complex infrastructure or Red Team engagements run 4 to 6 weeks.

Is it safe to run a pentest on a live production system?

Yes. We agree on scope, timing, and methods in advance, use safe techniques, and can work against a production replica when needed.

What do I get at the end?

A detailed report with vulnerability descriptions, proof-of-concept exploits, CVSS scoring, and step-by-step remediation guidance.

Skontrolujeme, či útočníci nepreniknú do vašej firmy skôr, ako to urobíte vy.

PWN-ALL je tím etických hackerov. Legálne útočíme na vaše systémy, aby sme našli zraniteľné miesta skôr, ako ich nájdu skutoční útočníci.

Požiadať o audit Čo je to pentest?

kritické CVE zverejnené: 340+
zabezpečených klientov: 120
priemerná doba spracovania správy: 14dní

Hrozby · dnes

Čísla za
každého narušenia bezpečnosti.

60%

porušení súvisí s ľudským faktorom

prípadov narušenia bezpečnosti súvisí s ransomware

↑ 37 % medziročne

útokov na webové aplikácie využíva odcudzené prihlasovacie údaje

+34%

nárast zneužitia zraniteľností

prípadov narušenia bezpečnosti sa teraz týka tretích strán — 2× viac ako minulý rok

22 052

bezpečnostných incidentov analyzovaných po celom svete

OWASP Top 10✱ PTES✱ NIST SP 800-115✱ MITRE ATT&CK✱ Operácie červeného tímu✱ Výskum zero-day✱ OWASP Top 10✱ PTES✱ NIST SP 800-115✱ MITRE ATT&CK✱ Operácie červeného tímu✱ Výskum zero-day✱

01 /

Pentest je
kontrola zámku
vašich digitálnych dverí.

Analógia s domom

Predtým, ako sa nasťahujete do nového domu, skontrolujete zámky, okná a poplašný systém. Pentest robí presne to isté – ale pre vašu webovú stránku, aplikáciu a sieť.

Kontrolovaný útok

Naši špecialisti útočia na vašu infraštruktúru rovnako ako skutočný hacker – avšak na základe zmluvy, bez spôsobenia škôd a s podrobnou správou na konci.

Správa + náprava

Dostanete podrobnú správu: čo sme zistili, aké je to nebezpečné a ako to napraviť. Žiadne zbytočné informácie – len konkrétne kroky.

bez penetračného testovania

O diere sa dozviete až po narušení

⚠ Únik údajov zákazníkov
⚠ Výpadok prevádzky v špičke
⚠ Pokuty od regulačných orgánov
⚠ Poškodenie reputácie

Úroveň rizika

92 %

s pentestom

Zatvoríte diery skôr, ako dôjde k útoku

✓ Zistené a opravené zraniteľnosti
✓ Tím vie, ako reagovať
✓ Súlad s bezpečnostnými štandardmi
✓ Dôvera klientov a partnerov

Úroveň rizika

14 %

02 /

Ako to funguje.
Päť krokov k bezpečnej infraštruktúre.

01

Rozsah a zadanie

Diskutujeme o tom, čo testovať, ktoré systémy sú kritické a kde sú hranice. Podpíšeme dohodu o mlčanlivosti a dohodneme sa na pravidlách spolupráce.
1–3 dni
02

Prieskum a mapovanie

Zmapujeme útočnú plochu: ktoré služby sú vystavené, ktoré technológie sa používajú a kde sú slabé vstupné body.
3–5 dní
03

Zneužitie

Bezpečne zneužívame zraniteľnosti: skúmame, ako ďaleko by sa skutočný útočník mohol reálne dostať vo vnútri vašich systémov.
5–14 dní
04

Správa

Dodávame dvojúrovňovú správu: súhrn pre vedenie a technické detaily pre tím inžinierov.
3–5 dní
05

Opätovné testovanie a podpora

Po vašich opravách vykonáme opätovné testovanie, aby sme potvrdili, že chyby sú odstránené. Sme k dispozícii pre prípadné otázky.
2–3 dni

03 /

Hracie pole .
Skúste to sami.

Štyri praktické ukážky, ktoré demonštrujú, ako útočníci nachádzajú slabé miesta — a koľko z toho sa stane za pár sekúnd. Každá z nich je bezpečná, beží vo vašom prehliadači a je 100 % neškodná.

1. kolo / 10 Skóre 0/10 ľahké

Ako hrať

Desať úryvkov kódu zo skutočného sveta, od ľahkých po ťažké , v jazykoch PHP, Python, Node.js, Rust, Go a SQL. Niektoré skrývajú klasickú zraniteľnosť, niektoré sú len zložité logické úlohy, niektoré sú skutočne čisté. Označte, čo vidíte — jeden bod za každé správne označenie.

Bodovanie

9–10/10 — na pohovore na pozíciu senior AppSec by ste uspeli.
6–8/10 — solídny recenzent, priestor na zdokonalenie.
3–5/10 — základy máte, jemné nuansy vám unikajú.
0–2/10 — dnes večer prehľadajte svoje repo na md5().

Na čo sa zamerať

Injekcia (SQL, príkaz, NoSQL) · nefunkčné overovanie · pevne zakódované tajné údaje · IDOR · SSRF · prechádzanie cestou · slabé šifrovanie · podmienky súťaže · nebezpečná deserializácia · chýbajúce kontroly overovania.

hydra -L users.txt -P common-list-100k.txt BRUTE

cieľ https://acme-corp.local/login

zoznam slov common-list-100k.txt (99 738 záznamov)

užívatelia admin · root · user · jerry · sarah · mike

// stlačte „Spustiť útok“ na spustenie simulácie

Čo sa práve stalo

Klasický útok typu credential stuffing. Útočník vyskúša zoznam 100 000 hesiel na bežné používateľské mená. Keď sa začnú vracať chyby 403 – zvyčajne kvôli obmedzeniu rýchlosti – nástroj prejde na ďalší proxy server a pokračuje ďalej.

Varovný signál

žiadny WAF · žiadne obmedzenie rýchlosti · žiadna detekcia anomálií

Tisíce neúspešných prihlásení z rotujúcich IP adries by mali rozsvietiť každý dashboard. Tu sa však nič nedeje. Nakoniec jedno heslo sedí.

Obrana

Obmedzenie rýchlosti podľa účtu (nie IP), pridanie MFA, upozornenie na geografické anomálie, zablokovanie známych skupín proxy a vyžadovanie CAPTCHA po N neúspešných pokusoch.

Kolo 1 / 10 Skóre 0/10

10 moderných phishingových návnad

Desať scenárov založených na najčastejších technikách pozorovaných v rokoch 2025–2026: OAuth device-code, QR-code quishing, zneužitie Google Calendar/Meet/Forms, AiTM reverse proxies, klasický BEC, AI voice-clone vishing so spoofingom ID volajúceho cez VoIP a ďalšie. Jedno kolo = jeden reálny vzor.

Hodnotenie

9–10/10 — tieto by ste zachytili v produkčnom prostredí.
6–8/10 — solídny inštinkt, priestor na zdokonalenie.
3–5/10 — nasadenie MFA odolného voči phishingu je vo vašom pláne.
0–2/10 — vaša schránka je ako časovaná bomba.

Nová realita

Phishing už nie je len o e-mailoch. Hlas je možné klonovať z 3 sekúnd zvukového záznamu. Identifikácia volajúceho sa dá ľahko sfalšovať prostredníctvom VoIP (Twilio, 3CX, Asterisk). Phishingové správy generované umelou inteligenciou majú o 60 % vyššiu mieru kliknutí. Kontrola domény odosielateľa už nestačí.

nmap -sV <cieľ> SCAN

// vyberte cieľ a stlačte tlačidlo spustiť

curl -I <cieľ> PROBE

Vývojárske tímy rýchlo vydávajú kód a niekedy zabúdajú na údržbu. Vyberte zabudnutú cestu a pozrite sa, čo za ňou útočník nájde.

dev.acme-corp.com

// kliknite na niektorú z vyššie uvedených ciest, aby ste ju otestovali

Čo sa deje

Každá cesta predstavuje reálnu kategóriu úniku. Útočníci používajú nástroje ako dirsearch alebo ffuf, ktoré vyskúšajú tisíce takýchto ciest za pár sekúnd – ak niektorá z nich vráti 200 OK, je po všetkom.

Dôsledok

Jedna jediná odhalená zložka .git umožňuje útočníkovi rekonštruovať celú históriu vášho zdrojového kódu – vrátane zmazaných commitov s tajnými informáciami.

Obrana

Blokujte dotfiles a vývojárske cesty na okraji siete (nginx / WAF), spúšťajte automatické skenery únikov v CI a vynucujte čisté artefakty zostavenia.

subfinder -d <doména> | httpx RECON

// stlačte enumerate na spustenie vyhľadávania subdomén

Prvý krok útočníka

Predovšetkým pentester zmapuje vašu útočnú plochu. Každá zabudnutá subdoména je potenciálnym oporným bodom – stagingový server, starý interný nástroj, wiki.

Ako to funguje

subfinder > dnsx > httpx > nuclei

Protokoly Certificate Transparency, hrubá sila pri DNS a pasívne zdroje vyťahujú subdomény, na ktorých zverejnenie si už nikto nepamätá.

Dávajte pozor na

Všetko, čo má v názve dev, staging, test, old alebo admin. Tieto domény zriedka disponujú takým zabezpečením ako vaša hlavná stránka.

mobscan :: statická analýza (.apk / .ipa) MOBSF

Vyberte aplikáciu na skenovanie

žiadna aplikácia nevybraná

// vyberte aplikáciu vyššie a stlačte „Spustiť skenovanie“, aby ste začali statickú analýzu

Čo to vlastne robí

Skutoční mobilní pentesteri rozbaľujú archívy .apk / .ipa (sú to len súbory ZIP), dekompilujú bajtkód pomocou nástrojov ako jadx, apktool alebo MobSF a potom prehľadávajú dekompilovaný zdrojový kód a hľadajú tajné údaje, koncové body a nezabezpečené vzory.

Prečo je to dôležité

Podľa správy Zimperium o mobilných hrozbách z roku 2025 takmer polovica mobilných aplikácií stále obsahuje pevne zakódované tajné údaje, 60 % aplikácií pre iOS nemá žiadnu ochranu proti reverznému inžinierstvu a 1 z 3 aplikácií pre Android prezrádza citlivé údaje.

Čo hľadáme

Pevne zakódované kľúče a tokeny API · tajné údaje AWS/Stripe/Firebase · súkromné koncové body backendu · zapnuté ladiace príznaky · deaktivované pripínanie certifikátov · chýbajúce hlavičky obmedzenia rýchlosti · allowBackup="true" · exportované aktivity ="true".

04 /

Služby.
Pre každú útočnú plochu.

Webový pentest

Testovanie webových aplikácií a API podľa metodiky OWASP. SQLi, XSS, IDOR, SSRF, logické chyby – všetko, čo by útočník mohol využiť.

— OWASP Top 10 + obchodná logika
— Autentizované a neautentizované
— API / GraphQL / WebSocket
— Manuálna + automatizovaná analýza

populárne

Penetračné testovanie siete

Vonkajší a vnútorný perimeter. Skúmame, kam až môže útočník zasiahnuť – z internetu alebo už z vnútra kancelárie.

— Externé a interné
— Kompromitácia AD / domény
— Eskalácia oprávnení
— Bočné presuny

Červený tím

Simulácia APT v plnom rozsahu. Sociálne inžinierstvo, phishing, fyzický prístup – testujeme nielen systémy, ale aj vašich zamestnancov.

— TTP podľa MITRE ATT&CK
— Phishing a vishing
— Fyzické vniknutie
— Spolupráca s tímom Purple

05 /

Prečo PWN-ALL.

Nie sme skener zraniteľností. Sme tím, ktorý uvažuje ako útočník. Každú úlohu vedú inžinieri s reálnymi skúsenosťami z red teamu a bug bounty.

95%
kritických zistení sa objaví v priebehu prvých 2 týždňov: 120+
spoločností nám zverilo svoju infraštruktúru: 340+
kritických CVE zdokumentovaných v našich správach: 72h
maximálna doba odpovede na urgentné požiadavky

Riziko vs. čas — po penetračnom teste

vysokástrednánízka

bez pentestu riziko zostáva trvalo vysoké — po našom audite klesne o 78 % v priebehu mesiaca.

06 /

Ste pripravení vidieť
svoju infraštruktúru očami útočníka?

Napíšte nám priamo — bez formulárov, bez zbytočných nákladov. Bezplatná 30-minútová konzultácia, stanovenie rozsahu a odhad časového harmonogramu do jedného pracovného dňa.

✓ Najprv podpíšeme dohodu o mlčanlivosti
✓ Žiaden spam, žiadne nevyžiadané telefonáty
✓ Odpoveď do 24 hodín

// vyberte_kanál

e-mail hello@pwn-all.com pgp

signal Šifrovaný kanál

nda_first · odpoveď < 24h · no_sales_calls

Skontrolujeme, či útočníci nepreniknú do vašej firmy skôr, ako to urobíte vy.

Analógia s domom

Kontrolovaný útok

Správa + náprava

Rozsah a zadanie

Prieskum a mapovanie

Zneužitie

Správa

Opätovné testovanie a podpora

—

—

Riziko vs. čas — po penetračnom teste

Ste pripravení vidieťsvoju infraštruktúru očami útočníka?

Ste pripravení vidieť
svoju infraštruktúru očami útočníka?