Penetration testing принципиально отличается от обычного автоматического сканирования. Сканер ищет только известные шаблоны, а пентестер думает как реальный атакующий и креативно пытается обойти защиту. Это часто единственный надёжный способ узнать настоящий уровень безопасности компании. Инфраструктура Sayt.uz регулярно проверяется внешними пентест-командами.
Black box, white box и grey box
Пентест проводится в трёх подходах. Black box — пентестер не получает никакой информации и работает с позиции внешнего атакующего. White box — у пентестера есть исходный код, схемы и админ-доступ, такой аудит даёт самую глубокую картину. Grey box — промежуточный вариант с частичной информацией. У каждого подхода свои плюсы: black box даёт реализм, white box — глубину покрытия.
Этапы пентеста
Классический пентест включает пять этапов. Reconnaissance — сбор информации из открытых источников: DNS-записи, рабочие часы, соцсети. Scanning — техническая разведка портов, сервисов и версий. Exploitation — практическое использование найденных уязвимостей. Post-exploitation — оценка возможностей после проникновения. Reporting — документирование находок и выдача рекомендаций.
Burp Suite и OWASP ZAP
Для веб-пентеста самые популярные инструменты — Burp Suite и OWASP ZAP. Burp Suite Professional стоит 449 долларов в год и считается отраслевым стандартом. Он перехватывает трафик, позволяет модифицировать запросы, имеет автоматический сканер и большую экосистему расширений. OWASP ZAP — бесплатная альтернатива с открытым кодом, функционально очень близкая к Burp. Команда безопасности Sayt.uz использует оба инструмента параллельно.
Пентест и bug bounty
Многие путают пентест с bug bounty. Bug bounty — постоянно открытая программа, любой внешний исследователь может найти уязвимость и получить вознаграждение. Пентест проводится в фиксированный период, заранее согласованной командой, и заканчивается отчётом. Большинство организаций применяют оба варианта: один-два пентеста в год плюс постоянная bug bounty.
Пентест-компании в Узбекистане
В Узбекистане профессиональный пентест пока новое направление. Услугу предлагают несколько локальных IT-безопасных компаний и представительств международных аудиторов. Цены варьируются от 30 до 200 миллионов сум в зависимости от объёма и глубины. Sayt.uz рекомендует корпоративным клиентам проверенных партнёров.
Практика Sayt.uz
Sayt.uz передаёт свою инфраструктуру внешним пентест-командам дважды в год, любая найденная уязвимость закрывается в течение 30 дней. Корпоративным клиентам один бесплатный пентест в год включён, дополнительные аудиты от 15 миллионов сум. По данным 2026 года, благодаря нашим пентестам у клиентов закрыто 312 critical и 890 high уязвимостей. Пакет из 2 пентестов в год стоит 28 миллионов сум.