Što je penetraciono testiranje?

Question

Accepted Answer

**Penetraciono testiranje** (pen testing) je autorizirano, simulirano napadanje sustava kako bi se pronašle iskorištive **ranjivosti** prije nego što to učine pravi napadači — etički hakeri aktivno pokušavajući provaliti. Pruža realističku procjenu sigurnosti izvan automatizirane analize.

## Što je pen testing

```text
PENETRATION TESTING = AUTHORIZED simulated attacks on a system to find real, exploitable
vulnerabilities:
  → ethical hackers / security pros actively try to BREAK IN (think and act like attackers)
  → goes beyond automated scanning → finds complex, chained, and logic vulnerabilities
  → AUTHORIZED and scoped (legal, agreed boundaries) — unlike real attacks
→ "How would a real attacker compromise this, and what could they reach?"
```

## Vrste i pristupi

```text
By KNOWLEDGE:
  BLACK-BOX → no internal knowledge (like an outside attacker)
  WHITE-BOX → full knowledge/access (thorough, internal view)
  GRAY-BOX → partial knowledge (e.g. a regular user's access)
SCOPE → web apps, networks, APIs, mobile, cloud, social engineering, physical, etc.
PHASES → reconnaissance → scanning → exploitation → post-exploitation → reporting
```

## Vrijednost i upotreba

```text
✓ REALISTIC assessment → finds what automated tools miss (business logic flaws, chained
  exploits, real exploitability — not just theoretical findings)
✓ Validates defenses; demonstrates real RISK/impact (proof, not just a scanner warning)
✓ Often required for COMPLIANCE (PCI-DSS, etc.); recommended periodically for critical systems
✓ A clear REPORT → prioritized findings + remediation guidance
→ Complements (not replaces) automated scanning, secure coding, and other practices.
```

## Zašto je važno

Razumijevanje penetracijskog testiranja je vrijedna znanja na razini seniora jer pruža **realističku procjenu sigurnosti simulacijom stvarnih napada**, pronalaženjem iskoristivih ranjivosti koje automatizirani alati propuštaju, pa je važno za temeljitu procjenu sigurnosti.

Pen testing — **autorizirano, simulirano napadanje gdje etički hakeri aktivno pokušavaju provaliti u sustav** — pruža realističku procjenu sigurnosti jer vješti testatori razmišljaju i djeluju kao napadači, idući dalje od automatizirane analize kako bi pronašli složene, ulančane i ranjivosti poslovne logike koje skenirani programi propuštaju.

Razumijevanje toga — da pen testing otkriva **kako bi stvarni napadač zapravo kompromitirao sustav i što bi mogao dosegnuti**, umjesto samo teorijskih nalaza — je ključna vrijednost.

Razumijevanje **vrsta i pristupa** — prema razini znanja (**black-box** bez internog znanja poput vanjskog napadača, **white-box** s punim pristupom za temeljitost, **gray-box** s djelomičnim znanjem), prema opsegu (web aplikacije, mreže, API-ji, cloud, društveno inženjerstvo) i fazama (izviđanje, skeniranje, eksploatacija, post-eksploatacija, izvještavanje) — pruža razumijevanje kako se pen testing provodi.

Razumijevanje **vrijednosti i upotrebe** — pružanje realističke procjene (pronalaženje onoga što alati propuštaju), validacija obrana, **demonstracija stvarnog rizika i utjecaja** (dokaz iskoristivosti, ne samo upozorenja iz skenera), biti **obavezno za sukladnost** (PCI-DSS, itd.), i stvaranje prioritiziranih nalaza s uputama za ispravljanje — pojašnjava zašto i kada se koristi pen testing, te da **nadopunjava umjesto da zamjenjuje** automatizirane analize i siguran razvoj.

Pen testing je najrealniji način procjene stvarne sigurnosne pozicije, vrijedan za kritične sustave i sukladnost.

Budući da je realistična procjena sigurnosti (pronalaženje stvarno iskoristivih ranjivosti kao što bi to učinio stvarni napadač) važna za kritične sustave i sukladnost, te budući da pen testing to pruža (izvan automatizirane analize) simulacijom stvarnih napada, i budući da razumijevanje toga, njegovih vrsta i vrijednosti odražava zrelost procjene sigurnosti, razumijevanje penetracijskog testiranja je vrijedna znanja na razini seniora — važna za realističku procjenu sigurnosti koja pronalazi stvarno iskorištive ranjivosti, nadopunjava automatizirane alate, podupire sukladnost, i odražava svjesnost o procjeni sigurnosti očekivanu za starije uloge koje se bave stvarnim razumijevanjem i validacijom sigurnosne pozicije sustava.