Hva vi tester

Vi tilbyr sikkerhetstesting på tvers av hele den digitale overflaten:

  • Webapplikasjoner: Autentisering, tilgangskontroll, input validering, session-håndtering og forretningslogikk.
  • API-er REST og GraphQL-endepunkter, rate limiting, tilgangskontroll og datalekkasjer.
  • Infrastruktur Nettverkskonfigurasjon, brannmurregler, TLS-oppsett og eksponerte tjenester.
  • Skymiljøer lagringskonfigurasjon, håndtering av sensitive opplysninger og nettverkssegmentering.

Tilnærming, fra utsiden og inn

Vi starter uten tilganger og jobber oss innover, akkurat som en reell ondsinnet aktør ville gjort.

Black box (uautentisert)

Første fase er ren black box-testing. Vi kartlegger angrepsflaten uten innlogging eller intern dokumentasjon, eksponerte endepunkter, feilmeldinger som lekker informasjon, åpne ressurser og mulige inngangspunkter.

Autentisert testing

Basert på funnene fra black box-fasen, og med vanlige brukerkontoer, tester vi hva en innlogget bruker kan oppnå utover det tiltenkte. Vi ser etter horisontal og vertikal privilegieeskalering, IDOR-sårbarheter og forretningslogikk som kan misbrukes.

Privilegert testing

Til slutt tester vi med høyere rollenivåer: admin, operatør eller lignende. Her ser vi etter svakheter i rollebasert tilgangskontroll, om admin-funksjoner er tilstrekkelig isolert, og om det finnes veier fra lavere til høyere privilegier.

Denne stegvise tilnærmingen gir et realistisk bilde av risikoen og viser tydelig hvor grensene brytes.

Metodikk

Testingen følger anerkjente rammeverk og kombinerer automatiserte verktøy med manuell gjennomgang.

OWASP Testing Guide

Vi dekker OWASP Top 10 og går i dybden der det trengs. Hver test dokumenteres med steg-for-steg reproduksjon.

Manuell testing

Automatiserte skannere fanger det opplagte — vi finner det de ikke gjør. Logikkfeil, tilgangskontrollsvakheter og kjedede sårbarheter krever et menneskelig blikk.

Automatisert skanning

Vi bruker industristandard verktøy for å kartlegge kjente sårbarheter, utdaterte komponenter og feilkonfigurasjoner raskt og systematisk.

Leveranser

Etter gjennomført test mottar du en detaljert rapport som inneholder:

  • Funn med alvorlighetsgrad Hver sårbarhet klassifiseres etter CVSS og forretningsrisiko.
  • Reproduksjonssteg Konkrete steg for å gjenskape hvert funn, slik at utviklerne kan verifisere og fikse.
  • Anbefalte tiltak Prioriterte anbefalinger for utbedring, tilpasset deres stack og kontekst.
  • Oppsummering for ledelsen Overordnet risikovurdering uten teknisk sjargong.

Slik fungerer det

  1. Avklaring Vi kartlegger omfang, mål og eventulle begrensninger sammen med dere.
  2. Testing Gjennomføring innenfor avtalt tidsramme og scope.
  3. Rapportering Dere mottar rapporten med funn, klassifisering og tiltak.
  4. Retest Etter at tiltak er gjennomført, verifiserer vi at sårbarhetene er lukket.