Заказать пентест:
услуги тестирования на проникновение

Обратившись в SolidPoint для проведения пентеста, вы получаете комплексную услугу: от планирования и ручного тестирования до подтверждённых результатов и практических рекомендаций. Прозрачный процесс заказа, ручная работа экспертов и отчёт с подтверждёнными находками и PoC. Стоимость пентеста рассчитывается индивидуально под объём вашей задачи.

Что входит в услугу пентеста

Заказать пентест — значит получить не формальный отчёт, а полноценную услугу: команда SolidPoint планирует работы, проводит ручное тестирование на проникновение и подтверждает каждую найденную уязвимость практической демонстрацией. Услуги пентеста охватывают веб-приложения, API, мобильные приложения, корпоративную сеть и внешний периметр.

Перед тем как инициировать пентест, полезно знать, из каких этапов и результатов складывается услуга. Ниже — основные составляющие работ, которые вы получаете независимо от выбранного вида тестирования. Подробное описание методологии и классов уязвимостей приведено на странице пентеста.

Планирование и согласование объёма

Услуги пентеста начинаются с определения границ работ, целей и модели тестирования. Мы согласуем перечень целей, правила тестирования и временные окна, чтобы заказать пентест было прозрачно и предсказуемо.

Ручное тестирование на проникновение

Центральным элементом услуги является ручная работа специалистов: поиск уязвимостей, безопасная эксплуатация и построение реалистичных цепочек атак. Именно экспертный ручной подход отличает пентест от автоматизированного сканирования и позволяет выявлять сложные, контекстно-зависимые уязвимости.

Подтверждение находок с PoC

Каждая уязвимость в рамках услуг пентеста подтверждается практической демонстрацией (PoC). В финальный отчёт включаются исключительно подтверждённые уязвимости, для которых продемонстрирована реальная возможность эксплуатации — это исключает ложные срабатывания и экономит ресурсы команды.

Отчёт и рекомендации

По итогам услуги вы получаете отчёт с оценкой критичности по CVSS и конкретными рекомендациями по устранению. Заказать пентест в SolidPoint — значит получить понятный план действий для команды.

Какие виды пентеста можно заказать

Услуги пентеста охватывают разные виды тестирования на проникновение — в зависимости от целей, объекта и модели угроз. Вы можете заказать как точечную проверку одного веб-приложения, так и комплексное тестирование всей инфраструктуры.

Внешний

Внешний пентест

Можно заказать тестирование на проникновение через внешний периметр — так, как действовал бы атакующий из интернета. Проводим оценку защищённости внешнего периметра: публичных веб-сервисов, точек входа, DNS, почтовых и иных общедоступных сервисов. Это самый востребованный вид пентеста.

Внутренний

Внутренний пентест

Услуга моделирует действия нарушителя, уже получившего доступ в сеть (инсайдер или скомпрометированный узел). Анализируем эффективность сетевой сегментации, проверяем корректность разграничения прав и оцениваем возможности эскалации привилегий и горизонтального перемещения внутри сети.

Web · API

Пентест веб-приложений

Углублённый пентест веб-приложений и API по OWASP Top 10 и OWASP API Security Top 10: инъекции, обходы аутентификации и авторизации, логические уязвимости. Наиболее востребованный вид тестирования — пентест веб-приложений и API, поскольку они чаще всего становятся целью атак.

Mobile

Пентест мобильных приложений

Можно заказать анализ защищённости мобильных приложений для iOS и Android вместе с их серверной частью по методике OWASP MASVS.

Соц. инженерия

Социальная инженерия

Услуга по оценке осведомлённости персонала включает моделирование фишинговых атак и других сценариев социальной инженерии для проверки устойчивости человеческого фактора.

Red Team

Red Team

Доступно проведение Red Team-упражнений — комплексной имитации целевой атаки с оценкой эффективности средств защиты и реакции команды безопасности (Blue Team).

Как заказать пентест

Процесс взаимодействия выстроен прозрачно: от первой заявки до финального отчёта каждый этап согласован и понятен. Ниже — шаги от первой заявки до повторного теста, чтобы заказать пентест было удобно и понятно на каждом этапе.

1

Заявка и обсуждение

Вы оставляете заявку, чтобы заказать пентест, и описываете задачу. Мы обсуждаем цели, объект тестирования и ожидаемый результат — это первый шаг к заказу услуги.

2

Согласование объёма и стоимости

Определяем границы работ, виды пентеста и модель тестирования (Black / Grey / White Box). На основе объёма мы рассчитываем стоимость пентеста индивидуально и согласуем её с вами.

3

Договор и NDA

Фиксируем условия услуги в договоре. Перед началом работ подписывается NDA — строгая конфиденциальность сохраняется на всех этапах заказа и проведения пентеста.

4

Проведение пентеста

Команда проводит тестирование на проникновение: разведку, поиск и безопасную эксплуатацию уязвимостей, постэксплуатацию и демонстрацию реальных бизнес-рисков.

5

Отчёт и рекомендации

Вы получаете отчёт с подтверждёнными находками, оценкой критичности по CVSS и конкретными рекомендациями по устранению — результат заказанной услуги пентеста.

6

Повторный тест

После устранения уязвимостей мы проводим повторный тест, чтобы подтвердить эффективность исправлений. Поддержка команды по устранению выявленных уязвимостей и консультации по повышению защищённости включены в состав услуги.

Что вы получаете

По результатам заказанной услуги пентеста вы получаете отчёт с подтверждёнными находками, оценкой их критичности и практическими рекомендациями по устранению. Отчёт построен так, чтобы быть полезным и руководству, и техническим специалистам.

Резюме для руководства

Резюме для руководства содержит сжатый обзор ключевых результатов, основных рисков и итоговой оценки защищённости — для принятия управленческих решений.

Технический отчёт

Технический отчёт включает подробное описание каждой уязвимости: первопричину, шаги воспроизведения, доказательства эксплуатации (PoC), оценку критичности по CVSS и рекомендации по исправлению.

Рекомендации по устранению

Конкретные инструкции для разработчиков и администраторов по исправлению каждой уязвимости и повышению общего уровня безопасности.

Повторный тест после устранения уязвимостей
Консультации по исправлению найденных недостатков
В отчёте фиксируются только реально эксплуатируемые уязвимости — это позволяет команде сразу приступать к устранению критических рисков без дополнительной валидации

От чего зависит стоимость пентеста

Цена услуги формируется индивидуально под конкретный проект: мы учитываем объём, сложность и требования к тестированию. Не существует универсального прайс-листа на пентест — стоимость определяется после согласования границ работ и состава задач. Ниже — ключевые факторы, от которых зависит итоговая стоимость, когда вы решаете заказать пентест. Финальную оценку стоимости мы предоставляем после детального согласования периметра, целей и условий тестирования.

Объём и количество целей

Чем больше веб-приложений, хостов и сервисов входит в периметр, тем больше времени требует тестирование на проникновение. Объём работ — основной фактор, влияющий на стоимость пентеста.

Модель тестирования

Black Box, Grey Box или White Box: глубина проверки и трудозатраты различаются. Модель White Box, предполагающая доступ к документации, исходному коду и внутренним сервисам, даёт максимальное покрытие и глубину анализа.

Виды работ

Услуги пентеста могут включать внешний и внутренний пентест, тестирование веб-приложений и API, мобильных приложений, социальную инженерию или Red Team — набор видов тестирования (например, внешний пентест, внутренний, веб, мобильные приложения, Red Team) напрямую определяет трудоёмкость и итоговую стоимость проекта.

Сроки и условия

Ограниченные временные окна, сжатые сроки и повышенные требования к конфиденциальности учитываются при планировании и влияют на расчёт стоимости. Все параметры проекта, включая сроки, объём и правила тестирования, фиксируются в договоре и NDA до начала работ.

Почему заказать пентест в SolidPoint

Наша группа компаний более 10 лет на рынке информационной безопасности. Команда ведёт исследования на факультете ВМК МГУ, результаты представлены на ведущих конференциях — OWASP AppSec, DEF CON, Black Hat, Hack in the Box, Positive Hack Days, OffZone, ZeroNights.

Исследовательская экспертиза

Основатели и ключевые сотрудники — исследователи безопасности с публикациями в научных журналах и докладами на ведущих конференциях. Технологии сканирования представлены на WASP at ESORICS 2023.

Подтверждённые результаты

20+ опубликованных CVE в продуктах Apple, Google Chrome, VMware vCenter, MySQL2. Более 100 принятых отчётов в программах Bug Bounty ведущих мировых компаний.

Опыт с 2011 года

Команда SolidLab проводит пентесты и аудиты защищённости самых сложных приложений и инфраструктур с 2011 года.

Собственные технологии

Пентест усиливается сканером SolidPoint DAST: больше обнаруженных конечных точек за счёт анализа клиентского JavaScript и интеллектуальная валидация находок.

Конфиденциальность

Перед началом работ подписывается NDA. Строгое соблюдение всех пунктов соглашения и безопасное удаление всей информации по завершении проекта.

Признание индустрии

Благодарности от Alibaba, Amazon, Apple, Google, IBM, PlayStation, Mail.ru и других компаний за ответственное раскрытие уязвимостей.

Когда заказать пентест

Пентест целесообразно проводить не только как разовое мероприятие, но и на регулярной основе — для поддержания актуального уровня защищённости. Ниже — основные ситуации, в которых услуги тестирования на проникновение особенно важны для безопасности бизнеса.

Перед запуском продукта

Заказать пентест перед выводом нового веб-приложения или сервиса в продакшен — значит выявить уязвимости до того, как с ними столкнутся пользователи и злоумышленники.

Не реже одного раза в год

Регулярные услуги пентеста поддерживают безопасность на актуальном уровне: вектор атак и конфигурация инфраструктуры динамично меняются, поэтому периодическое тестирование необходимо для своевременного выявления новых рисков.

После значимых изменений

Крупные обновления, новая функциональность, миграция инфраструктуры или новые интеграции — веский повод снова заказать пентест и убедиться, что изменения не снизили уровень безопасности.

Для соответствия требованиям

Требования отраслевых стандартов и регуляторов (включая PCI DSS, ГОСТ Р 57580 и нормативные акты ЦБ РФ) предусматривают регулярное проведение тестирования на проникновение как часть системы управления информационной безопасностью.

Критические уязвимости, выявленные нашей командой

Apple

CVE-2025-24192

Google Chrome

CVE-2023-5480 · CVE-2024-10229 · CVE-2025-4664

VMware vCenter Server

VMSA-2021-0020 · VMSA-2022-0004

Jenkins

CVE-2019-1003029 · CVE-2019-1003030

MySQL2 для Node.js

CVE-2024-21507 · CVE-2024-21508 · CVE-2024-21509

SheetJS

CVE-2023-30533

Вопросы и ответы про заказ пентеста

Как заказать пентест в SolidPoint?

Чтобы заказать пентест, напишите нам и опишите задачу: какой объект нужно проверить и с какой целью. Мы обсудим объём работ, согласуем виды пентеста и модель тестирования, рассчитаем стоимость и зафиксируем условия в договоре. Подробнее о методологии можно прочитать на странице пентеста.

Сколько стоит заказать пентест?

Стоимость пентеста рассчитывается индивидуально и зависит от объёма и количества целей, выбранной модели тестирования, состава работ и сроков. Единой цены на услуги пентеста нет — мы даём точную оценку после согласования границ. Напишите нам, чтобы получить расчёт под вашу задачу.

Какие виды пентеста можно заказать?

Можно заказать внешний и внутренний пентест, пентест веб-приложений и API, тестирование мобильных приложений, социальную инженерию и Red Team. Состав услуги согласуется индивидуально под ваши цели и модель угроз.

Сколько времени занимает проведение пентеста?

Сроки зависят от объёма и сложности объекта: типовое тестирование на проникновение веб-приложения или внешнего периметра занимает от 1 до 3 недель. Точные сроки определяются на этапе согласования границ, когда вы решаете заказать услугу.

Подписываете ли вы NDA?

Да. Перед началом работ подписывается NDA. Мы строго соблюдаем все пункты соглашения о конфиденциальности и безопасно удаляем всю информацию по завершении проекта.

Что нужно для старта пентеста?

Для старта достаточно описать объект тестирования и цели. В зависимости от выбранной модели (Black / Grey / White Box) могут потребоваться учётные записи, доступ к документации или исходному коду. Всё необходимое мы согласуем на этапе обсуждения заказа.

Что входит в услугу пентеста?

Услуги пентеста включают планирование и согласование объёма, ручное тестирование на проникновение, подтверждение каждой находки с PoC, отчёт с оценкой критичности по CVSS и рекомендациями, а также повторный тест и консультации по устранению уязвимостей.

Безопасно ли проведение пентеста для рабочих систем?

Да. Мы заранее согласуем правила тестирования, действуем аккуратно и при необходимости проводим пентест в выделенном окне или в изолированной среде, чтобы исключить влияние на работу бизнеса.

Закажите пентест и узнайте, насколько защищён ваш бизнес

Напишите нам, чтобы заказать пентест вашей инфраструктуры или приложения. Мы обсудим объём работ, рассчитаем стоимость пентеста индивидуально и предложим оптимальный план услуги тестирования на проникновение.