Pentest SAP
Testy penetracyjne SAP — zanim zrobi to atakujący
Kompleksowe pentesty środowisk SAP: ECC, S/4HANA, HR, BW, Solution Manager. White-, grey- i black-box. Raport z rekomendacjami w 3 tygodnie od kick-off.
Potrzebujesz pentestu SAP? Wycenimy w 48h.
Podaj liczbę SID-ów i typ testu (white / grey / black). Przygotujemy konkretną ofertę.
Dlaczego SNOK
4 powody, dla których warto
- 1
Zrealizowaliśmy pentesty SAP dla Stock Spirits, IPS oraz klientów z infrastruktury krytycznej (DEV/TST/PRD).
- 2
Zespół z certyfikatami OSCP, SAP Security Consultant, CISSP. Hands-on w SAP od 15+ lat.
- 3
Metodyka: OWASP SAP, NIST SP 800-115, guidelines SAP Security Patch Day.
- 4
Raport zrozumiały dla zarządu + techniczny dla zespołu SAP Basis. Dashboard z re-testem po fixach.
Zakres usługi
Co dostarczamy
Recon i enumeracja
Mapowanie wystawionych serwisów (RFC, HTTP, ICF, gateway), fingerprinting wersji, identyfikacja known CVE.
Auth i eskalacja
Testy uwierzytelnienia, brute force, session handling, eskalacja uprawnień (SAP_ALL, SoD breaches).
ABAP i kod custom
Review kodu custom ABAP pod kątem SQLi, XSS, dynamic calls, open redirects.
Interfejsy i SAP GUI
Testy RFC, IDoc, SAP Router, SAP Gateway, SAP Web Dispatcher. MITM, replay, injection.
Konfiguracja i hardening
Weryfikacja parametrów security, trusted systems, cross-client access, password policies.
Raport i rekomendacje
Raport zarządczy (CVSS, ryzyko) + techniczny (PoC, kroki remediacji). Prezentacja z QA.
Re-test po fixach
Weryfikacja że znalezione podatności zostały faktycznie zamknięte (pierwszy re-test w cenie).
Co dostajesz
Co dostajesz w pakiecie
- Executive summary (4–6 stron) dla zarządu i CISO
- Raport techniczny (30–80 stron) z CVSS, PoC, krokami remediacji
- Prioritized action plan z czasami i kosztami naprawy
- Prezentacja wyników (90 min) z zespołem klienta
- Re-test po naprawach (w cenie projektu w ciągu 90 dni)
Praca pentestera
Kawałek realnej sesji
Skrócony fragment pracy zespołu pentestowego w autoryzowanym środowisku testowym. Konkretne narzędzia, konkretne komendy, konkretne CVE. Pentesty wykonujemy wyłącznie po podpisaniu NDA i rules of engagement.
Jak pracujemy
Timeline projektu
- 1
Kick-off + scoping (tydzień 1)
NDA, definicja zakresu, przygotowanie środowiska testowego, user testowy, rules of engagement.
- 2
Testy aktywne (tydzień 2)
Pentest zgodnie z metodyką. Daily sync z zespołem klienta. Natychmiastowe zgłoszenie critical findings.
- 3
Raport i prezentacja (tydzień 3)
Raport techniczny + zarządczy. Prezentacja QA na żywo z zespołem SAP Basis i security.
- 4
Re-test po naprawach (opcja)
W ciągu 90 dni od dostarczenia raportu — weryfikacja, że fixy faktycznie zamykają podatności.
Wycena
Jak wyceniamy
Wycena zależy od liczby SID-ów, złożoności, typu testu (white/grey/black) i integracji. Pentesty pojedynczego SID startują od 3–4 tygodni pracy. Wycenimy konkretnie po krótkim discovery call.
Poproś o konkretną ofertęWybrane realizacje
Robiliśmy to dla:
Konkretne liczby, technologie i cytaty - na rozmowie.
Pentest SAP + monitoring bezpieczeństwa
SAP Security · Automatyzacja · Managed Services 24/7
Audyt SAP Security · SAP HANA · SuSE Linux · Lenovo
FAQ
Najczęściej zadawane pytania
Czym się różni white-, grey- i black-box?
Czy pentest nie zepsuje produkcji?
Ile trwa pentest?
Czy macie certyfikaty?
Co dostanę po pentestie?
Chcesz przetestować bezpieczeństwo SAP?
30 minut z ekspertem SNOK - konkretna diagnoza, oferta w 48h, bez sprzedażowego pitchu.