Phát hiện những gì scanner bỏ sót. Xử lý trước khi go-live.
Kiểm thử xâm nhập chuyên gia, mô phỏng tấn công thực tế trên web & API. Gồm OWASP Top 10, khai thác thủ công, PoC và tái kiểm miễn phí.
Liên hệ ngay
Thực trạng
Hầu hết kẻ tấn công không cần đột nhập. Họ chỉ đơn giản đi qua cửa chính vì không ai kiểm tra xem cửa đã được khóa chặt hay chưa.
Thống kê
Chi phí trung bình của một vụ vi phạm dữ liệu là 4,9 triệu USD (IBM Security, 2024).
Mất 287 ngày để xác định và ngăn chặn một vụ vi phạm nếu không có kiểm thử chủ động.
Số cuộc tấn công mạng gia tăng hơn 40% so với năm trước (ENISA, 2024).
Lợi tức đầu tư (ROI) gấp 3 lần khi thực hiện kiểm thử bảo mật phòng ngừa so với chi phí khắc phục sau vi phạm.
Ai đang gặp rủi ro
Các doanh nghiệp vừa và nhỏ (SME) và công ty đang mở rộng quy mô không có đội ngũ bảo mật nội bộ. Các nền tảng SaaS mà một vụ vi phạm có thể dẫn đến mất khách hàng ngay lập tức. Các ngành công nghiệp chịu quy định như GDPR, NIS2 và ISO 27001. Các sản phẩm sắp ra mắt phục vụ hàng nghìn người dùng.
Những gì bạn sẽ nhận được
Mọi lỗ hổng công khai được xác định và xác thực bằng bằng chứng PoC (Proof-of-Concept).
Xếp hạng rủi ro (Critical, High, Medium, Low) cùng với phân tích tác động kinh doanh bằng ngôn ngữ dễ hiểu.
Lộ trình khắc phục ưu tiên: chỉ rõ những gì cần khắc phục trước tiên.
Phân tách rõ ràng giữa các phát hiện quan trọng về tuân thủ và các phát hiện mang tính tư vấn.
Kiểm thử lại miễn phí tất cả các phát hiện mức độ Critical và High.
Báo cáo tóm tắt rủi ro dành cho ban lãnh đạo, sẵn sàng trình bày cho hội đồng quản trị, cùng với chi tiết kỹ thuật cho đội ngũ phát triển của bạn.
Báo cáo mẫu từ một kiểm thử xâm nhập thực tế
Chiếm quyền tài khoản trái phép qua tải lên tệp (Critical): payload không xác thực được tải lên, phiên quản trị bị chiếm đoạt qua liên kết lừa đảo xã hội.
Leo thang đặc quyền và Trích xuất dữ liệu hàng loạt (Zero-Day): tài khoản nhân sự có đặc quyền thấp nhất đã trích xuất toàn bộ cơ sở dữ liệu nhân viên, lương, mật khẩu và dữ liệu cá nhân.
Lỗ hổng logic nghiệp vụ, Thao túng giá (Critical): số lượng âm vượt qua kiểm tra xác thực của máy chủ, đặt chỗ hoàn tất với chi phí bằng không.
Quy trình thực hiện
Xác định phạm vi
Khởi động dự án, xác nhận phạm vi, lập bản đồ bề mặt tấn công, thiết lập thông tin liên hệ khẩn cấp.
Quét và khai thác
Kiểm tra theo OWASP Top 10, quét tự động bằng Burp Suite Pro, kết hợp kiểm thử thủ công bởi chuyên gia nhằm xác định các lỗ hổng logic và lạm dụng API.
Tổng hợp và báo cáo
Các phát hiện được xác thực bằng PoC. Báo cáo tóm tắt rủi ro dành cho ban lãnh đạo và Lộ trình khắc phục ưu tiên được bàn giao.
Kiểm thử lại và báo cáo kết quả
Các phát hiện mức độ Critical và High được kiểm thử lại. Bàn giao báo cáo và hướng dẫn chi tiết cùng đội ngũ của bạn.
Phạm vi
Các hạng mục bao gồm
Lập bản đồ bề mặt tấn công trên tất cả các điểm cuối công khai, API và cơ chế xác thực.
Kiểm thử theo OWASP Top 10 và quét tự động bằng Burp Suite Pro.
Khai thác thủ công bởi chuyên gia: tấn công xác thực, chuỗi tấn công injection, lỗ hổng logic nghiệp vụ, lạm dụng API.
Báo cáo tóm tắt rủi ro dành cho ban lãnh đạo với xếp hạng rủi ro và tác động kinh doanh bằng ngôn ngữ dễ hiểu.
Lộ trình khắc phục ưu tiên: chỉ rõ những gì cần khắc phục trước tiên, được biên soạn dành cho các nhà phát triển.
Kiểm thử lại miễn phí tất cả các phát hiện mức độ Critical và High.
Các hạng mục không bao gồm
Kiểm tra mã nguồn (có sẵn trong gói Deep Dive).
Phân tích kiến trúc và mô phỏng mối đe dọa nội bộ (gói Deep Dive).
Giám sát liên tục (xem Đánh giá và Quản lý lỗ hổng bảo mật).
Bảo mật hạ tầng đám mây (xem Đánh giá bảo mật Cloud).
Ai sẽ thực hiện
An Ngô - Kỹ sư bảo mật
Chuyên gia Bảo mật tấn công & Nghiên cứu lỗ hổng. Chuyên gia Red Team với hơn 200 CVE đã công bố và xếp hạng hàng đầu toàn cầu trên Patchstack.
Chuyên môn
Kiểm thử xâm nhập nâng cao trên các môi trường web, API, máy chủ và di động. Kiểm tra mã nguồn chuyên sâu bằng Java, .NET, PHP, JavaScript và Python. Phát triển công cụ khai thác tùy chỉnh và tự động hóa bảo mật tăng cường AI. Bảo mật ứng dụng toàn diện (Full-stack).
Kinh nghiệm trong ngành
An ninh mạng. Viễn thông. SaaS.
Thành tích
Được vinh danh trong Apple Hall of Fame (Tháng 8/2024). Xếp hạng #1 nhà nghiên cứu toàn cầu trên Patchstack (Tháng 9/2023). Công bố hơn 200 CVE, bao gồm nhiều lỗ hổng nghiêm trọng CVSS 9.8. Dẫn dắt đội đạt giải nhất toàn quốc trong cuộc thi diễn tập an ninh thông tin.
Tại sao chọn Gradion
Chuyên môn Red Team, không chỉ công cụ
OWASP Top 10 và Burp Suite Pro chỉ là mức cơ bản, không phải đích đến. Mọi dự án đều bao gồm kiểm thử thủ công bởi các chuyên gia. Phát hiện các lỗi logic, chuỗi tấn công lạm dụng API và lỗ hổng phiên mà các công cụ quét tự động thường bỏ sót.
Hai cấp độ, một đội ngũ chuyên gia
Gói Tiêu chuẩn (Black/Grey-Box) cho nhu cầu compliance và kiểm tra trước khi go-live. Gói Deep Dive (White-Box) cho đánh giá mã nguồn, phân tích kiến trúc và mô phỏng rủi ro nội bộ. Được thực hiện bởi cùng một đội ngũ, hãy lựa chọn theo mức độ rủi ro của bạn.
Luôn cung cấp bằng chứng Proof-of-Concept
Mỗi phát hiện đều đi kèm PoC có thể khai thác. Báo cáo viết rõ ràng cho ban lãnh đạo và cung cấp hướng dẫn chi tiết ở cấp độ code cho developer. Bao gồm quy trình kiểm tra lại để xác nhận.
Kiểm thử xâm nhập ứng dụng web
Giá cố định. Không phát sinh thêm. Không chi phí ẩn.
Tiêu chuẩn (Black/Grey-Box)
OWASP Top 10, quét tự động, khai thác thủ công, bao gồm kiểm tra lại. Thời gian: 5-7 ngày.
- Lập bản đồ bề mặt tấn công
- Kiểm thử theo OWASP Top 10
- Quét tự động bằng Burp Suite Pro
- Khai thác thủ công bởi chuyên gia
- Kiểm tra lại các lỗi mức độ nghiêm trọng/cao
Chuyên sâu (White-Box)
Bao gồm tất cả các hạng mục của gói Tiêu chuẩn, cộng thêm đánh giá mã nguồn, phân tích kiến trúc, mô phỏng mối đe dọa nội bộ. Thời gian: 17-25 ngày.
- Bao gồm tất cả các hạng mục của gói Tiêu chuẩn
- Quét mã nguồn tìm lỗi logic
- Đánh giá kiến trúc trên toàn bộ bề mặt tấn công
- Mô phỏng mối đe dọa nội bộ và tài khoản bị xâm nhập
- Kiểm thử toàn diện tính toàn vẹn API và lạm dụng logic nghiệp vụ
Các câu hỏi thường gặp
Chúng tôi đã thực hiện pentest năm ngoái. Có cần làm thêm một lần nữa không?
Có, nếu mã nguồn, hạ tầng hoặc API của bạn đã thay đổi kể từ đó. Kiểm thử xâm nhập chỉ có giá trị tại thời điểm thực hiện. Các tính năng mới, tích hợp và cập nhật phụ thuộc đều tạo ra bề mặt tấn công mới. Kiểm thử hàng năm là tiêu chuẩn tối thiểu cho hầu hết các khuôn khổ tuân thủ.
Quy trình kiểm thử có gây gián đoạn không?
Đối với gói Tiêu chuẩn, chúng tôi cần quyền truy cập URL, môi trường staging và một đầu mối kỹ thuật. Đội ngũ phát triển của bạn chỉ tham gia vào buổi khởi động và tổng kết. Đối với gói Chuyên sâu, chúng tôi cần quyền truy cập mã nguồn chỉ đọc và 2-3 giờ sẵn sàng hỗ trợ trong suốt quá trình thực hiện.
Điều gì sẽ xảy ra nếu phát hiện lỗ hổng nghiêm trọng trong quá trình kiểm thử?
Chúng tôi sẽ thông báo ngay lập tức cho trưởng nhóm kỹ thuật của bạn. Chúng tôi không chờ đến khi báo cáo cuối cùng. Bạn sẽ không bao giờ bị bỏ mặc trong khi chúng tôi hoàn tất tài liệu.
Điều này khác gì so với quét tự động?
Các công cụ quét tự động tìm kiếm các mẫu đã biết. Đội ngũ Red Team của chúng tôi phát hiện các lỗi logic, chuỗi lỗ hổng và khai thác dựa trên ngữ cảnh nghiệp vụ mà không công cụ quét nào có thể bắt được. Mọi phát hiện đều bao gồm một Proof-of-Concept hoạt động, không chỉ là điểm số mức độ nghiêm trọng trên bảng tính.
Tiếp theo
Các phát hiện từ kiểm thử xâm nhập sẽ được đưa trực tiếp vào dịch vụ Tăng cường bảo mật web (Web Security Hardening) (4.999-6.999 EUR). Chúng tôi sẽ khắc phục các lỗ hổng đã tìm thấy, triển khai bảo vệ WAF và kiểm tra lại để đảm bảo mọi kẽ hở đều được đóng.
Đối với môi trường đám mây, dịch vụ Đánh giá bảo mật đám mây (Cloud Security Assessment) (5.999-6.999 EUR) sẽ mở rộng phạm vi bảo vệ vượt ra ngoài tầng web.
Không ràng buộc dài hạn. Báo cáo pentest có giá trị độc lập.
Kiểm thử xâm nhập ứng dụng web: từ 5.000 EUR
Điền vào biểu mẫu. Chúng tôi sẽ xác nhận khả năng cung cấp dịch vụ và phạm vi trong vòng 48 giờ.
- Chỉ trao đổi. Quyết định ở bạn.
- Phản hồi trong vòng 48 giờ.
- Chuyên gia cấp cao trực tiếp tham gia.
Hãy cùng hợp tác
Hãy cho chúng tôi biết về dự án của bạn - chúng tôi sẽ xây dựng đội ngũ phù hợp.
Đặt lịch tư vấn