← Security

Pentest e audit offensivo

Pensiamo come un attaccante. Per non subirne uno.

Pentest web, mobile, API, cloud e infrastruttura. Metodologia OWASP & PTES, exploit provati, report CVSS, piano di remediation prioritario. Retest incluso.

Richiedi un preventivo pentest Vedi la metodologia
  • OWASP Top 10 & ASVS
  • PTES & OSSTMM
  • Prova di exploit inclusa
  • Retest gratuito dopo remediation

Perimetro

Cosa testiamo davvero.

Niente scanner automatico spacciato per « audit ». Ogni missione combina strumenti industriali ed expertise manuale sulle zone critiche.

01

Pentest applicativo web

OWASP Top 10 completo, broken auth, IDOR, SSRF, XSS, deserializzazione. Black/grey/white-box.

02

Pentest mobile (iOS e Android)

Reverse engineering, bypass jailbreak detection, certificate pinning, storage locale, API. OWASP MASVS.

03

Pentest API e micro-servizi

REST, GraphQL, gRPC. Auth, rate-limiting, BOLA/BFLA. OWASP API Security Top 10.

04

Pentest infrastruttura e cloud

AWS, GCP, Azure: IAM, CIS configurations, segmentazione rete, segreti esposti. Audit interno ed esterno.

05

Red Team e social engineering

Campagne phishing mirate, OSINT, intrusione fisica simulata. Per aziende mature che testano la detection.

06

Pentest IoT e embedded

Analisi firmware, reverse hardware, protocolli proprietari, BLE, MQTT. Per IoT e apparecchiature industriali.

Metodologia

Cinque fasi, tracciabili.

Ogni missione segue PTES. Sai sempre dove siamo, ricevi i finding critici in tempo reale.

01

Pre-engagement

Definizione scope, rules of engagement, finestre di test, contatti emergenza. NDA prima di ogni accesso.

02

Reconnaissance e mapping

OSINT, enumerazione, fingerprinting. Mappatura completa della superficie d'attacco prima di ogni tentativo.

03

Exploitation

Tentativi manuali + tooling (Burp Suite Pro, Metasploit, custom). Ogni vulnerabilità provata da exploit riproducibile.

04

Reporting

Executive summary (1 pagina) per la direzione + report tecnico dettagliato. CVSS 3.1, impatto, remediation valorizzata.

05

Retest dopo remediation

Entro 30 giorni riverifichiamo che vulnerabilità critiche e alte siano chiuse. Incluso in tutti i pacchetti.

Deliverables

Cosa ricevi.

Executive summary (1 pagina)

Sintesi non tecnica per direzione, board o assicurazione cyber. Rischi maggiori, score globale, raccomandazioni top.

Report tecnico dettagliato

20-80 pagine. Ogni finding: descrizione, prova, CVSS 3.1, impatto, remediation, CWE/CVE.

Restituzione orale

Sessione 1-2h in video o on-site col team tech. Rispondiamo alle domande, prioritizziamo insieme.

Piano di remediation valorizzato

Ogni vulnerabilità con effort stimato, impatto × probabilità, ordine di priorità. Roadmap attuabile.

Attestato di pentest

Documento firmato per clienti, partner, certificazioni ISO/SOC, assicurazione cyber. Senza dettagli tecnici.

Retest gratuito (30 giorni)

Riverifica entro 30 giorni che i finding critici siano corretti. Nessun mese extra da fatturare.

Tariffe

Ogni progetto è unico. Anche il preventivo.

Invece di pacchetti astratti, adattiamo al tuo contesto: scope, complessità, scadenze, vincoli. Scrivici in 3 frasi cosa vuoi fare — torniamo con un preventivo fermo entro 48 ore lavorative.

Risposta entro 48 ore lavorative Richiedi un preventivo