PentestPlannerVšechny články
Publikováno·9 min čtení

Pentest scoping — technický deep dive do toho, co reálně tlačí číslo

Proč je nabídka na API 2 MDs a na web app 9? Co tlačí číslo z 3 na 12? Technický průchod každým driverem scopingu.

Scoping není odhad od oka. Je to řetězec deterministických rozhodnutí, z nichž každé posouvá počet MDs předvídatelným směrem. Níže je popsáno, jak každý vstup ovlivňuje výsledek v engine PentestPlanner — a proč ignorace kteréhokoli z nich produkuje špatné číslo.

1. Třída aktiva určuje sizing unit

Největší chyba ve scopingu je špatná jednotka. Třída aktiva určuje jednotku:

  • Webová aplikace → stránky, moduly nebo API endpointy (jedno z toho, nemíchat).
  • Samostatné API → endpointy, seskupené podle resource.
  • Mobil → obrazovky + nativní moduly + backing API endpointy.
  • Externí infra → živé IP / hostnames po discovery.
  • Interní infra → ekvivalenty /24, AD users, AD computers.
  • Cloud → accounts, subscriptions, resource groups.
  • Wireless → BSSIDs + SSIDs + lokality.

„10-stránková" web app s 80 API endpointy není 10-stránková práce. Je to 80-endpoint práce s UI na vrchu.

2. Knowledge mode je gate, ne posuvník

Black-, grey- a white-box nejsou tři body na cenové škále — odemykají různé testovací plochy:

  • Black-box bez kredencí — pouze perimetr. Autentizace, registrace, password reset, veřejné API. Typicky 0.5–5 MDs pro web app.
  • Grey-box s kredencemi — odemyká autentizovaný povrch aplikace. Sizing baseline platí plně.
  • White-box se zdrojem — totéž co grey, plus cílený review hot paths. Přidává 20–40 % podle jazyka a objemu kódu.

Nelze slíbit hloubku v black-box, kterou gate fyzicky nepouští. Dodavatel nabízející 12 MDs čistého black-box na 5-stránkový marketingový web vám prodává fikci.

3. Role násobí, nepřičítají

Každá autentizovaná role projde stejný povrch z jiného úhlu privilegií. PentestPlanner používá stupňované multiplikátory (např. 1.00 / 1.30 / 1.55 / 1.75 pro 1 / 2 / 3 / 4+ rolí) místo lineárního přidávání, protože marginální náklad role N klesá s opětovným použitím stejné autorizační matice.

4. Gating flagy hýbou číslem víc, než lidé čekají

  • Auth-break required v black-box — přidává fixní blok na credential discovery / bypass.
  • WAF / rate-limiting v scope — přidává evasion effort.
  • Out-of-band kanály (email, SMS, push) — přidávají infra setup MDs.
  • Compliance flag (PCI, DORA, NIS2) — přidává reporting overhead, ne hloubku testu.

5. Overlap deduction napříč scopy

Dvě web app za stejným IdP sdílí recon, testování autentizace a reporting boilerplate. Vážný engine odečítá overlap jednou, místo aby ho účtoval per scope. PentestPlanner odečítá shared overhead (PM, workshop, shared reporting) na úrovni engagementu a matematiku ukazuje v reconciliation panelu.

6. Overhead je per-engagement, ne per-scope

Projektové řízení, kick-off workshop a finální read-out jsou konstanty na úrovni engagementu. Účtovat je třikrát, protože engagement má tři scopy, je nejčastější tichá inflace v branži.

Skládání dohromady

Pro 30-stránkovou B2B SaaS web app, grey-box, 3 role, s PCI reportingem:

  1. Baseline ze stránek → např. 5.0 MDs
  2. Role multiplikátor (3 role, ~1.55×) → 7.75 MDs
  3. Compliance reporting adder → +1.0 MD
  4. Engagement overhead (PM + workshop + read-out) → +1.5 MD
  5. Celkem → ~10.25 MDs, P50–P90 rozsah cca 9–12.

Každý řádek je dohledatelný. Každý řádek je napadnutelný. To dělá číslo obhajitelné — ne číslo samo, ale fakt, že umíte projít každý krok, jak vzniklo.

Plný snapshot metodiky žije na stránce metodiky a je verzovaný. Příště, až vám dodavatel pošle nabídku, proženěte stejný scope PentestPlannerem a zeptejte se, proč se čísla liší. Ta odpověď je rozhovor, který stojí za to vést.

Všechny články