MWGSEC

Web Exploitation Tester Specialist

Czym się zajmuję

Jestem specjalistą od praktycznego bezpieczeństwa aplikacji webowych. Moja praca to most między technicznymi szczegółami a biznesowymi potrzebami, tłumaczę zagrożenia na konkretne ryzyka i pokazuję realne ścieżki naprawy.

Moje podejście: Nie wystawiam ocen ani nie tworzę teoretycznych rankingów. Analizuję stronę z perspektywy atakującego, znajduję najkrótszą ścieżkę do naruszenia, a potem pokazuję jak ją zablokować. Efekt? Klient nie dostaje 50-stronicowego raportu, ale 3-5 konkretnych zaleceń które można wdrożyć w ciągu kilku dni.

Współpracuję głównie z developerami i freelancerami, którzy chcą oferować swoim klientom kompleksową ochronę bez konieczności zatrudniania dodatkowych specjalistów. Dla małych firm jestem często pierwszą i jedyną osobą od bezpieczeństwa IT, tłumaczę co jest naprawdę ważne, a co można odłożyć na później.

W bezpieczeństwie najdroższy jest pierwszy krok, bo wymaga przyznania, że problem istnieje. Moim zadaniem jest ten krok maksymalnie uprościć.

Usługi

Audyt bezpieczeństwa

Test XSS formularzy, analiza nagłówków (CSP, HSTS), skan subdomen, szczegółowy raport PDF z zaleceniami.

249 zł

Monitoring 24/7

Stały nadzór nad dostępnością strony, alerty SMS/email przy awarii, miesięczne raporty uptime.

od 59 zł/mc

Pierwszy audyt testowo

Sprawdź jak działam. Pełen audyt w obniżonej cenie przed podjęciem decyzji o stałej współpracy.

149 zł

Przykładowy Raport Audytu

Tak wygląda gotowy raport który otrzymuje klient. Wszystkie dane zanonimizowane.

RAPORT AUDYTU BEZPIECZEŃSTWA - PRZYKŁADOWY
Data: [DATA]
Status: KOMPLETNY

1. WPROWADZENIE
Audyt przeprowadzono dla strony klienta w celu identyfikacji podstawowych zagrożeń bezpieczeństwa.

2. METODOLOGIA
• Analiza nagłówków HTTP (securityheaders.com)
• Test podatności XSS (formularze kontaktowe)
• Skan subdomen (findomain)
• Weryfikacja wersji technologii

3. WYNIKI
3.1. NAGŁÓWKI BEZPIECZEŃSTWA
OCENA: F (Bardzo Niska)

BRAKUJĄCE NAGŁÓWKI:
• Content-Security-Policy (CSP)
• Strict-Transport-Security (HSTS)
• X-Frame-Options
• X-Content-Type-Options
• Referrer-Policy
• Permissions-Policy

3.2. TEST XSS
FORMULARZ KONTAKTOWY:
Status: PODATNY
Test: <script>alert('XSS')</script>
Wynik: Kod zaakceptowany
Ryzyko: ŚREDNIE

3.3. SUBDOMENY
• www.[domena].pl
• shop.[domena].pl
• app.[domena].pl
Nie znaleziono niebezpiecznych subdomen.

3.4. TECHNOLOGIE
• WordPress: 6.9 (aktualna)
• PHP: 7.4.33 (przestarzała)
• Serwer: Apache/2.4.66

4. PODSUMOWANIE RYZYK
1. Brak CSP - WYSOKIE ryzyko - 1-2h naprawy
2. Podatność XSS - ŚREDNIE ryzyko - 2h naprawy
3. Przestarzałe PHP - ŚREDNIE ryzyko - 1h naprawy
4. Brak HSTS - NISKIE ryzyko - 30min naprawy

5. REKOMENDACJE
PRIORYTET 1 (24h):
1. Dodać CSP: Content-Security-Policy: default-src 'self';
2. Naprawić XSS: walidacja formularza po stronie serwera

PRIORYTET 2 (7 dni):
3. Aktualizacja PHP do wersji 8.2+
4. Dodać HSTS: Strict-Transport-Security: max-age=31536000

PRIORYTET 3 (30 dni):
5. Dodać pozostałe nagłówki bezpieczeństwa

Pełna wersja zawiera screenshoty, kody do wdrożenia i szczegółowe instrukcje.

To jest anonimizowany przykład. Pełny raport otrzymuje klient po audycie.

Kontakt

Wyślij adres strony – w ciągu 24h dostaniesz wycenę.

Mail GitHub Discord