+(36) 30/492-67-33   |    info@securedev.hu
Vissza a tudástárba
PEN-TESZT · SEBEZHETŐSÉG · TESZTELÉS

Pen-teszt vs. sebezhetőség-szkenner — mi a különbség, melyikre van szükség?

Sok cég ezt a kettőt összekeveri — pedig a NIS2 mindkettőt elvárja, és gyökeresen másra valók. Ebben a cikkben tisztázzuk: mi a pen-teszt, mi a sebezhetőség-szkenner, mikor melyik kell, és mennyibe kerülnek.

5 perc olvasás 2026.05.14. SecureDev csapat

A 30 másodperces különbség

Sebezhetőség-szkenner = automata gép. Pen-teszt = etikus hacker.

A szkenner egy lista alapján működik: ismert sebezhetőségeket keres ismert mintázatokkal. Olcsó, gyors, gyakran futható. De: nem lát kontextust, és nem tudja egy hibát egy másikkal kombinálni.

A pen-teszter ember (vagy emberek csapata). Ugyanúgy keresi a sebezhetőségeket, mint a támadó: kontextusban, kombinálva, kreatívan, célzottan. Drágább, de valós választ ad arra a kérdésre: "feltörhető-e ténylegesen?"

Sebezhetőség-szkenner — részletesen

Mi az?

Egy szoftver (pl. Nessus, OpenVAS, Wapiti, Burp Scanner), ami szisztematikusan végigmegy egy rendszeren és összeveti egy CVE-listával (Common Vulnerabilities and Exposures): "ez a portál nyitva, a verzió 1.2.3, a CVE-2024-12345 érinti, kockázat HIGH".

Mit talál meg?

  • Nem frissített szoftverek (régi WordPress, Apache, MySQL).
  • Hibás SSL/TLS konfiguráció (gyenge cipher-ek, lejárt cert).
  • Default jelszavak (admin/admin).
  • Nyitott portok és szolgáltatások (SMB, RDP, telnet kívülről elérhető).
  • OWASP Top 10 ismert mintázatok (SQL injection, XSS bizonyos formái).

Mit NEM talál meg?

  • Logika-hibákat — pl. egy ügyfélportál ahol másik user adatait is lehet látni az URL-id változtatásával.
  • Üzleti folyamat-hibákat — pl. egy webshopban a kedvezmény-kód többször beváltható.
  • Social engineering — phishing, fizikai behatolás, kommunikációs trükkök.
  • 0-day sebezhetőségeket — amik még nem szerepelnek a CVE-listán.
  • Sebezhetőség-láncot — egyetlen hiba kicsi, de 3 egymásra építve = teljes admin hozzáférés.

Ár és gyakoriság

Egy automata szkenner futtatás 100 000 - 300 000 Ft / alkalom egy kb. 50 fős cég infrastruktúráján. Havonta vagy negyedévente érdemes futtatni.

Pen-teszt (penetrációs teszt) — részletesen

Mi az?

Egy etikus hacker (vagy 2-3 fős csapat) szándékosan próbálja megtörni a rendszer védelmét, ahogy egy igazi támadó tenné — csak szerződéssel és jelentéssel.

Milyen típusai vannak?

  • Külső pen-teszt: Csak az internetről elérhető rendszereket vizsgálja (weboldal, VPN, mail-szerver, publikus API-k).
  • Belső pen-teszt: A támadó már bejutott a hálózatra (egy user-gépen via phishing). Mit tud csinálni belülről?
  • Webalkalmazás pen-teszt: Egy konkrét webhely / API biztonsági audit.
  • Red team: Komplett szimulált támadás — phishing-től kezdődik, fizikai behatolásig, lateral movement-ig.
  • Wireless pen-teszt: A céges WiFi sebezhetősége (beleértve a wireless attack-okat).

Mit kapsz a végén?

Egy 30-50 oldalas jelentés, két szinten:

  1. Executive summary (vezetői összefoglaló): 1-2 oldal, üzleti kockázat-szempontból. Megérti egy CEO is.
  2. Technikai részletek: minden megtalált sebezhetőség leírása, kihasználása (proof-of-concept), javítási javaslat.

Ár és gyakoriság

Egy 5-10 napos pen-teszt 1,5 - 4 millió Ft. Évente 1×, vagy minden nagyobb release után. A NIS2 hatály alatti cégeknek évente legalább egy alkalommal javasolt.

Mikor melyik kell?

Sebezhetőség-szkenner — gyakran, olcsón

  • Patch-management ellenőrzésére (havi futás).
  • Új szerver / új deployment után (gyors smoke test).
  • NIS2 megfelelőség "folyamatos sebezhetőség-kezelés" eleme.
  • Compliance-jelentésekhez "vulnerability assessment" bekategorizálva.

Pen-teszt — ritkán, drágán, mélyen

  • Évente 1× — kötelező NIS2 / ISO 27001 megfelelőséghez.
  • Új termék / webalkalmazás bevezetése előtt (production-ba kerülés előtt).
  • Komoly incidens után — "mit ronthatott még el a támadó?"
  • Akvizíció / due diligence során — "milyen IT-kockázatot veszünk át?"
  • Ügyfél-elvárás (multi-beszállító ki akar tölteni egy "milyen pen-teszt jelentésed van" kérdést).

A gyakorlatban a kettő együtt működik: sebezhetőség-szkenner havonta automatikusan, és pen-teszt évente 1× emberi vizsgálattal. A két dolog egymást egészíti ki — az egyik gyors lefedettséget ad, a másik mélységet és kontextust.

Mire figyelj egy pen-teszt-szolgáltató kiválasztásánál?

  1. Minősítések: OSCP, CEH, GIAC-tanúsítvány a teszterek között.
  2. Felelősségbiztosítás: a teszt során okozott esetleges kárra (legtöbb komoly cégnél 100 millió Ft+ kárfelelősség-biztosítás van).
  3. Referenciák: hasonló méretű / iparágú ügyfelek tapasztalata.
  4. Pontosan definiált hatály: mit szabad/nem szabad, mi az időablak, mit jelent egy "kritikus megtalálás", azonnali eszkalációs csatorna.
  5. Magyar nyelvű jelentés: ha a vezetőség is olvasni fogja (és kell, hogy).

Készen állsz egy pen-tesztre?

30 perces konzultációval végigvesszük: milyen hatókör, milyen módszertan, milyen időkeret illik a céghez. Konkrét árajánlat 48 órán belül.

Pen-teszt konzultáció IT biztonság szolgáltatás