Raptoric Journal/Ofenzivna sigurnost
Ofenzivna sigurnost15. lipnja 2026. · 12 min čitanja

Penetracijsko testiranje web aplikacija: kako teče

Web aplikacije su najizloženija meta, pa traže poseban, ručni test. Evo što obuhvaća penetracijsko testiranje web aplikacije i zašto skener nije dovoljan.
Sigurnosna testerica ispituje ranjivosti web aplikacije na radnoj stanici.
Autor
LH
Lovro Heruc
Ofenzivna sigurnost, aplikacije i detekcija
Podijelite
LinkedInX / TwitterCopy link

Web aplikacija je za većinu tvrtki najizloženija meta jer je dostupna svima s interneta. Zato penetracijsko testiranje web aplikacije zaslužuje poseban pristup: nije dovoljno pokrenuti skener, jer najozbiljniji propusti leže u logici aplikacije i kontroli pristupa koje automatika ne razumije. Ovaj tekst objašnjava što takav test obuhvaća, kako teče i zašto je ručni rad ključan. Vezano za obranu, pogledajte i sigurnost web aplikacija.

Ovo je dio našeg pregleda ofenzivne sigurnosti. Testiranje web aplikacija pružamo kroz ofenzivnu sigurnost.

Zašto skener nije dovoljan

Automatski skeneri korisni su za otkrivanje poznatih obrazaca, ali ne razumiju kontekst aplikacije. Ne znaju da običan korisnik ne bi smio vidjeti tuđu narudžbu, niti da promjena jednog parametra otključava administratorsku funkciju. Te greške u logici i kontroli pristupa najčešći su ozbiljni propusti, a otkriva ih samo tester koji razmišlja kao napadač.

Što test obuhvaća

Dobar test web aplikacije prati priznatu metodologiju, poput OWASP-ovog vodiča za testiranje.2

  • Autentifikaciju i upravljanje sesijama, dakle prijavu i preuzimanje računa.
  • Kontrolu pristupa, dohvaća li korisnik podatke i radnje izvan svojih ovlasti.
  • Injekciju, mijenja li nepouzdan unos upite prema bazi ili sustavu.
  • Logiku aplikacije, može li se proces zlouporabiti na neočekivan način.
  • Konfiguraciju i izloženost osjetljivih podataka.

Kako test teče

Test prati prepoznatljiv slijed, dogovoren unaprijed s naručiteljem.

  1. 01
    Opseg i pravila
    Dogovara se što se testira, kako i u kojem razdoblju.
  2. 02
    Izviđanje
    Tester mapira aplikaciju, njezine funkcije i ulazne točke.
  3. 03
    Testiranje
    Kombiniraju se automatsko skeniranje i ručni napadi po metodologiji.
  4. 04
    Iskorištavanje
    Potvrđeni propusti se sigurno demonstriraju da se dokaže učinak.
  5. 05
    Izvještaj
    Nalazi se rangiraju po riziku uz jasne preporuke za ispravak.

Kada testirati

Web aplikaciju vrijedi testirati prije prvog lansiranja, nakon svake veće promjene i periodički, barem jednom godišnje. Nove funkcije mogu uvesti nove propuste, pa jednokratni test brzo zastari. Za aplikacije u stalnom razvoju test se uklapa u širi pristup sigurnog razvoja.

Kako Raptoric pomaže

Testiramo web aplikacije ručno i po priznatoj metodologiji te isporučujemo izvještaj s dokazom učinka i jasnim preporukama, kroz ofenzivnu sigurnost. Dogovorite uvodni razgovor.

Česta pitanja

Zašto skener nije dovoljan za web aplikaciju?
Jer ne razumije kontekst aplikacije. Greške u logici i kontroli pristupa, poput dohvaćanja tuđih podataka promjenom parametra, najčešći su ozbiljni propusti, a otkriva ih samo tester koji razmišlja kao napadač.
Što obuhvaća test web aplikacije?
Autentifikaciju i sesije, kontrolu pristupa, injekciju, logiku aplikacije te konfiguraciju i izloženost podataka. Test prati priznatu metodologiju poput OWASP-ovog vodiča za testiranje.
Koliko često testirati web aplikaciju?
Prije prvog lansiranja, nakon svake veće promjene i periodički, barem jednom godišnje. Nove funkcije mogu uvesti nove propuste, pa jednokratni test brzo zastari.
Kako prepoznati pravi test od skeniranja?
Pravi test sadrži ručno potvrđene propuste, dokaz učinka i preporuke prilagođene vašoj aplikaciji, a ne samo ispis alata. To je glavna razlika ozbiljnog partnera.

Izvori

  1. 1OWASP. OWASP Top 10. Open Worldwide Application Security Project, 2021. Poveznica
  2. 2OWASP. OWASP Web Security Testing Guide (WSTG). Open Worldwide Application Security Project, 2024. Poveznica
Želite li ovakvu provjeru na vlastitim sustavima?
Naš tim definirat će opseg posla s vama u 30-minutnom razgovoru.
Dogovorite razgovor
Nastavite čitati
Svi tekstovi →