Przejdź do treści

Pentest SAP

Testy penetracyjne SAP — zanim zrobi to atakujący

Kompleksowe pentesty środowisk SAP: ECC, S/4HANA, HR, BW, Solution Manager. White-, grey- i black-box. Raport z rekomendacjami w 3 tygodnie od kick-off.

Potrzebujesz pentestu SAP? Wycenimy w 48h.

Podaj liczbę SID-ów i typ testu (white / grey / black). Przygotujemy konkretną ofertę.

Dlaczego SNOK

4 powody, dla których warto

  • 1

    Zrealizowaliśmy pentesty SAP dla Stock Spirits, IPS oraz klientów z infrastruktury krytycznej (DEV/TST/PRD).

  • 2

    Zespół z certyfikatami OSCP, SAP Security Consultant, CISSP. Hands-on w SAP od 15+ lat.

  • 3

    Metodyka: OWASP SAP, NIST SP 800-115, guidelines SAP Security Patch Day.

  • 4

    Raport zrozumiały dla zarządu + techniczny dla zespołu SAP Basis. Dashboard z re-testem po fixach.

Zakres usługi

Co dostarczamy

Recon i enumeracja

Mapowanie wystawionych serwisów (RFC, HTTP, ICF, gateway), fingerprinting wersji, identyfikacja known CVE.

Auth i eskalacja

Testy uwierzytelnienia, brute force, session handling, eskalacja uprawnień (SAP_ALL, SoD breaches).

ABAP i kod custom

Review kodu custom ABAP pod kątem SQLi, XSS, dynamic calls, open redirects.

Interfejsy i SAP GUI

Testy RFC, IDoc, SAP Router, SAP Gateway, SAP Web Dispatcher. MITM, replay, injection.

Konfiguracja i hardening

Weryfikacja parametrów security, trusted systems, cross-client access, password policies.

Raport i rekomendacje

Raport zarządczy (CVSS, ryzyko) + techniczny (PoC, kroki remediacji). Prezentacja z QA.

Re-test po fixach

Weryfikacja że znalezione podatności zostały faktycznie zamknięte (pierwszy re-test w cenie).

Co dostajesz

Co dostajesz w pakiecie

  • Executive summary (4–6 stron) dla zarządu i CISO
  • Raport techniczny (30–80 stron) z CVSS, PoC, krokami remediacji
  • Prioritized action plan z czasami i kosztami naprawy
  • Prezentacja wyników (90 min) z zespołem klienta
  • Re-test po naprawach (w cenie projektu w ciągu 90 dni)

Praca pentestera

Kawałek realnej sesji

Skrócony fragment pracy zespołu pentestowego w autoryzowanym środowisku testowym. Konkretne narzędzia, konkretne komendy, konkretne CVE. Pentesty wykonujemy wyłącznie po podpisaniu NDA i rules of engagement.

msfconsole — SAProuter / ICF exposure SNOK · PoC

Jak pracujemy

Timeline projektu

  1. 1

    Kick-off + scoping (tydzień 1)

    NDA, definicja zakresu, przygotowanie środowiska testowego, user testowy, rules of engagement.

  2. 2

    Testy aktywne (tydzień 2)

    Pentest zgodnie z metodyką. Daily sync z zespołem klienta. Natychmiastowe zgłoszenie critical findings.

  3. 3

    Raport i prezentacja (tydzień 3)

    Raport techniczny + zarządczy. Prezentacja QA na żywo z zespołem SAP Basis i security.

  4. 4

    Re-test po naprawach (opcja)

    W ciągu 90 dni od dostarczenia raportu — weryfikacja, że fixy faktycznie zamykają podatności.

Wycena

Jak wyceniamy

Wycena zależy od liczby SID-ów, złożoności, typu testu (white/grey/black) i integracji. Pentesty pojedynczego SID startują od 3–4 tygodni pracy. Wycenimy konkretnie po krótkim discovery call.

Poproś o konkretną ofertę

Wybrane realizacje

Robiliśmy to dla:

Konkretne liczby, technologie i cytaty - na rozmowie.

FAQ

Najczęściej zadawane pytania

Czym się różni white-, grey- i black-box?

Black-box = startujemy bez żadnych danych (jak zewnętrzny atakujący). Grey-box = mamy podstawowy user z minimalnymi uprawnieniami (symulacja insidera). White-box = mamy dostęp do konfiguracji i kodu (najbardziej efektywny — znajdujemy więcej). Najczęściej rekomendujemy grey-box + review konfiguracji.

Czy pentest nie zepsuje produkcji?

Testy wykonujemy na DEV/TST po wzajemnym uzgodnieniu. PRD testujemy tylko w trybie read-only (bez exploit attempts), po pisemnej autoryzacji, w oknie serwisowym. Zawsze z możliwością natychmiastowego wstrzymania.

Ile trwa pentest?

Pojedynczy SID (np. PRD ECC) — 2–3 tygodnie. Środowisko z 3 SID-ami (DEV/TST/PRD) — 4–5 tygodni. Pełne środowisko z 10+ systemami — do 8 tygodni.

Czy macie certyfikaty?

Tak — zespół ma OSCP, SAP Security Consultant, CISSP, CISA. SNOK jest członkiem PWCyber Ministerstwa Cyfryzacji, posiadamy ISO 27001:2022.

Co dostanę po pentestie?

Raport zarządczy (executive summary), raport techniczny z CVSS/PoC/remediacją, prioritized action plan, prezentacja wyników, re-test po fixach. Ankieta NPS po 60 dniach.

Chcesz przetestować bezpieczeństwo SAP?

30 minut z ekspertem SNOK - konkretna diagnoza, oferta w 48h, bez sprzedażowego pitchu.