Скільки коштує пентест веб застосунку і від чого залежить ціна?
Вартість пентесту вебзастосунку формується не за принципом “ціна за сайт”, а залежить від реального обсягу ризиків і складності логіки, яку потрібно перевірити. Пентест — це переважно ручна робота, тому головний фактор ціни — час і кваліфікація спеціаліста.
На ціну впливають кілька ключових чинників. Насамперед це функціональна складність застосунку: наявність реєстрації, авторизації, ролей, адмін-панелі, кошика, платежів, управління замовленнями, знижок, інтеграцій. Чим більше бізнес-логіки, тим більше сценаріїв атак потрібно перевірити.
Другий важливий фактор — кількість ролей і рівнів доступу. Якщо в системі є звичайні користувачі, менеджери, адміністратори, оператори підтримки — кожну роль потрібно тестувати окремо, включно з перевіркою горизонтального та вертикального доступу.
Також значення має формат пентесту. Black box потребує більше часу на розвідку, тоді як grey box або white box дозволяє зосередитися на реальних ризиках і зазвичай зменшує загальну вартість. Окремо враховуються вимоги до звіту: для внутрішнього використання він один, для інвесторів, аудиторів або сертифікації — значно детальніший.
Вартість пентесту вебзастосунку може починатися приблизно від 2 000 доларів США і сягати 50 000 доларів і більше, залежно від обсягу перевірки та вимог до звіту. Зазвичай мінімальна ціна відповідає тестуванню з невеликим scope і підходить для простих застосунків, тоді як складні або бізнес-критичні системи потребують значно глибшої перевірки. Ціна може суттєво варіюватися залежно від обсягу функціоналу і сценаріїв, які потрібно протестувати; кількості ролей користувачів і API; середовища тестування (production або staging); вимог до звіту та комплаєнсу; термінів виконання і формату доступу.