Cyberataki kosztują firmy 10,5 biliona dolarów rocznie do 2025 roku, czyniąc testowanie bezpieczeństwa mission-critical. Testowanie bezpieczeństwa wspierane przez AI z serwerami MCP przekształca wykrywanie podatności z manualnych audytów w inteligentne, automatyczne przepływy pracy, które ciągle skanują w poszukiwaniu podatności OWASP Top 10, przeprowadzają testy penetracyjne i dostarczają natychmiastowe wskazówki remediacji.
Tradycyjne testowanie bezpieczeństwa wymaga specjalistycznej wiedzy i złożonej konfiguracji narzędzi. Serwery MCP umożliwiają przepływy pracy testowania bezpieczeństwa w języku naturalnym:
Testowanie bezpieczeństwa w języku naturalnym
Analiza podatności wspierana przez AI
Integracja MCP bezpieczeństwa
Ciągła walidacja bezpieczeństwa
# Skonfiguruj serwery MCP testowania bezpieczeństwa# Skonfiguruj Playwright MCP do testowania bezpieczeństwa webnpx playwright install
# Dodaj do ustawień MCP Cursor:{ "mcpServers": { "playwright": { "command": "npx", "args": ["@playwright/mcp@latest"] }, "security-scanner": { "command": "npx", "args": ["security-mcp-server"] } }}
# Testowanie bezpieczeństwa w języku naturalnymAgent: "Używając Playwright MCP, wykonaj kompleksowy audyt bezpieczeństwa:
PRD: Ocena bezpieczeństwa aplikacji webowej- Przetestuj podatności OWASP Top 10 (2023)- Skup się na atakach injection (SQL, XSS, LDAP)- Waliduj autentyfikację i zarządzanie sesjami- Sprawdź złamane kontrole dostępu- Przetestuj bezpieczeństwo przesyłania plików- Skanuj w poszukiwaniu błędnych konfiguracji bezpieczeństwa
Todo:- [ ] Automatyczne skanowanie podatności- [ ] Manualne scenariusze testów penetracyjnych- [ ] Testowanie regresji bezpieczeństwa- [ ] Wygeneruj rekomendacje remediacji- [ ] Utwórz raport zgodności bezpieczeństwa"# Połącz się z serwerami MCP bezpieczeństwa do kompleksowego testowaniaclaude "Połącz się z Playwright MCP do testowania bezpieczeństwa:
Wymagania testowania bezpieczeństwa:- Przeskanuj naszą aplikację e-commerce w poszukiwaniu podatności- Przetestuj bezpieczeństwo przetwarzania płatności- Waliduj mechanizmy autentyfikacji użytkowników- Sprawdź ryzyko ekspozycji danych- Przetestuj bezpieczeństwo API i rate limiting
Konkretne testy:1. Testowanie SQL Injection w wyszukiwaniu i formularzach2. Cross-Site Scripting (XSS) w polach wejściowych użytkowników3. Ochrona Cross-Site Request Forgery (CSRF)4. Próby obejścia autentyfikacji5. Podatności zarządzania sesjami6. Walidacja bezpieczeństwa przesyłania plików
Oczekiwane rezultaty:- Szczegółowy raport podatności- Ocena i priorytetyzacja ryzyka- Przewodnik remediacji krok po kroku- Skrypty automatyzacji testów bezpieczeństwa"
# Claude będzie:# 1. Łączyć się z serwerami MCP bezpieczeństwa# 2. Wykonywać kompleksowe skanowanie bezpieczeństwa# 3. Analizować i priorytetyzować podatności# 4. Generować praktyczne plany remediacji# Kompleksowe testowanie bezpieczeństwa e-commerceAgent: "Używając Playwright MCP, wykonaj audyt bezpieczeństwa naszej platformy e-commerce:
Kontekst biznesowy:- Platforma e-commerce obsługująca przetwarzanie płatności- Autentyfikacja użytkowników z opcjami logowania społecznościowego- Przesyłanie plików dla zdjęć produktów i recenzji- Panel administracyjny do zarządzania inwentarzem- Endpointy API do integracji aplikacji mobilnej
Scenariusze testów bezpieczeństwa:1. Bezpieczeństwo płatności - Przetestuj ekspozycję danych kart kredytowych - Waliduj ataki injection na formularze płatności - Sprawdź podatności obejścia płatności - Przetestuj scenariusze manipulacji transakcji
2. Autentyfikacja i autoryzacja - Przetestuj ochronę przed brute force logowania - Waliduj bezpieczeństwo zarządzania sesjami - Sprawdź eskalację uprawnień - Przetestuj mechanizmy resetowania hasła
3. Walidacja danych wejściowych - SQL injection w wyszukiwaniu i filtrach - XSS w recenzjach produktów i komentarzach - Walidacja bezpieczeństwa przesyłania plików - Injection JSON/XML w wywołaniach API
4. Bezpieczeństwo logiki biznesowej - Próby manipulacji cen - Scenariusze obejścia inwentarza - Testowanie nadużyć kodów rabatowych - Walidacja manipulacji koszyka
Oczekiwane rezultaty:- Ocena zgodności OWASP Top 10- Matryca priorytetyzacji podatności- Przewodnik implementacji remediacji- Skrypty automatyzacji testów bezpieczeństwa"# Kompleksowa ocena bezpieczeństwa APIclaude "Używając serwerów MCP bezpieczeństwa, przetestuj bezpieczeństwo naszego REST API:
Ocena bezpieczeństwa API:- Testowanie autentyfikacji i autoryzacji- Walidacja danych wejściowych i ataki injection- Rate limiting i ochrona DDoS- Ekspozycja danych i zgodność prywatności- Implikacje bezpieczeństwa wersjonowania API
Konkretne przypadki testowe:1. Obejście autentyfikacji - Manipulacja tokenów JWT - Enumeracja kluczy API - Podatności przepływu OAuth - Hijacking tokenów sesji
2. Ataki injection - SQL injection w parametrach zapytań - NoSQL injection w zapytaniach dokumentów - LDAP injection w wyszukiwaniach użytkowników - Command injection w operacjach plików
3. Bezpieczeństwo danych - Ekspozycja wrażliwych danych w odpowiedziach - Podatności mass assignment - Niebezpieczne bezpośrednie referencje obiektów - Problemy cross-origin resource sharing
4. Rate limiting i DoS - Techniki obejścia limitów API - Ataki wyczerpania zasobów - Ataki slow HTTP - Wektory ataków amplifikacji
Wygeneruj kompleksowy raport bezpieczeństwa z:- Klasyfikacją podatności (Krytyczne/Wysokie/Średnie/Niskie)- Demonstracjami proof of concept exploitów- Przykładami kodu remediacji- Listą kontrolną testów bezpieczeństwa do integracji CI/CD"# Przepływ pracy testowania bezpieczeństwa autentyfikacjiAgent: "Przetestuj bezpieczeństwo autentyfikacji używając Playwright MCP:
Matryca testów autentyfikacji:1. Bezpieczeństwo poświadczeń - Testowanie wymuszania siły hasła - Podatności enumeracji nazw użytkowników - Walidacja mechanizmu blokady konta - Bezpieczeństwo przepływu resetowania hasła
2. Zarządzanie sesjami - Testowanie ataków session fixation - Scenariusze session hijacking - Obsługa równoczesnych sesji - Walidacja timeout sesji
3. Uwierzytelnianie wieloskładnikowe - Próby obejścia MFA - Ochrona przed brute force OTP - Bezpieczeństwo kodów zapasowych - Testowanie mechanizmów odzyskiwania
4. Bezpieczeństwo logowania społecznościowego - Manipulacja przepływu OAuth - Walidacja parametru state - Scenariusze wycieku tokenów - Podatności linkowania kont
Wykonanie testu:- Automatyczne testowanie brute force (100 prób logowania w 1 minutę)- Próby manipulacji tokenów sesji- Testowanie cross-site request forgery- Scenariusze obejścia autentyfikacji
Kryteria sukcesu:- Blokada konta po 5 nieudanych próbach- Tokeny sesji odpowiednio randomizowane- Ochrona CSRF na wszystkich endpointach auth- Brak wrażliwych danych w odpowiedziach autentyfikacji"# Testowanie kontroli dostępu i autoryzacjiclaude "Wykonaj testowanie bezpieczeństwa autoryzacji:
Scenariusze testów kontroli dostępu:1. Pionowa eskalacja uprawnień - Regularny użytkownik uzyskujący dostęp do funkcji admin - Obejście kontroli dostępu opartej na rolach - Walidacja autoryzacji endpointów API - Testowanie uprawnień na poziomie bazy danych
2. Pozioma eskalacja uprawnień - Użytkownik uzyskujący dostęp do danych innych użytkowników - Sprawdzenia autoryzacji na poziomie obiektów - Ataki manipulacji parametrów - Testowanie bezpośrednich referencji obiektów
3. Autoryzacja logiki biznesowej - Próby obejścia kroków workflow - Walidacja przejść stanów - Weryfikacja własności zasobów - Testowanie kontroli dostępu opartej na czasie
Metodologia testowa:- Utwórz użytkowników testowych z różnymi rolami- Próbuj nieautoryzowanego dostępu do zasobów- Testuj endpointy API z manipulowanymi tokenami- Waliduj filtrowanie danych odpowiedzi- Sprawdź ujawnianie informacji
Wygeneruj raport bezpieczeństwa autoryzacji z:- Walidacją matrycy kontroli dostępu- Podatnościami eskalacji uprawnień- Oceną ryzyka ekspozycji danych- Rekomendacjami bezpieczeństwa opartymi na rolach"# Testowanie bezpieczeństwa SQL injectionAgent: "Przetestuj podatności SQL injection używając Playwright MCP:
Plan testów SQL Injection:1. Testowanie pól wejściowych - Pola wyszukiwania i filtry - Formularze logowania (nazwa użytkownika/hasło) - Formularze kontaktowe i feedback - Recenzje produktów i komentarze
2. Testowanie parametrów URL - Parametry GET na stronach produktów - Parametry User ID w profilach - Parametry kategorii i sortowania - Parametry paginacji i limitów
3. Testowanie nagłówków HTTP - Injection User-Agent - Manipulacja X-Forwarded-For - Injection wartości cookie - Parametry niestandardowych nagłówków
4. Testowanie payloadów JSON/XML - Injection treści żądań API - Ataki XML external entity - Zanieczyszczenie parametrów JSON - Scenariusze injection GraphQL
Payloady SQL Injection:- Klasyczne: ' OR '1'='1' --- Union-based: ' UNION SELECT user,pass FROM users--- Time-based: '; WAITFOR DELAY '00:00:05'--- Boolean-based: ' AND 1=1--- Error-based: ' AND (SELECT COUNT(*) FROM information_schema.tables)>0--
Oczekiwane kontrole bezpieczeństwa:- Zapytania parametryzowane/prepared statements- Walidacja i sanityzacja danych wejściowych- Najmniejsze uprawnienia bazy danych- Sanityzacja komunikatów błędów- Monitorowanie aktywności bazy danych"# Testowanie cross-site scripting i CSRFclaude "Wykonaj testowanie bezpieczeństwa XSS i CSRF:
Testowanie podatności XSS:1. Reflected XSS - Strony wyników wyszukiwania - Wyświetlanie komunikatów błędów - Odbicie parametrów URL - Komunikaty walidacji formularzy
2. Stored XSS - Informacje profilu użytkownika - Recenzje produktów i komentarze - Posty na forum i wiadomości - Opisy przesyłanych plików
3. DOM-based XSS - Manipulacja JavaScript URL - Injection szablonów po stronie klienta - Przetwarzanie fragmentów hash - Modyfikacje window.location
Payloady testowe XSS:- Podstawowe: <script>alert('XSS')</script>- Event handler: <img src=x onerror=alert('XSS')>- SVG: <svg onload=alert('XSS')>- JavaScript: javascript:alert('XSS')
Scenariusze testowania CSRF:1. Operacje zmieniające stan - Modyfikacja ustawień konta - Zmiany haseł - Transakcje finansowe - Modyfikacje uprawnień użytkowników
2. Walidacja ochrony CSRF - Obecność tokenów anti-CSRF - Unikalność i wygaśnięcie tokenów - Atrybuty cookie SameSite - Walidacja nagłówka Referer
Wygeneruj kompleksowy raport walidacji danych wejściowych z:- Klasyfikacją i wpływem podatności- Demonstracjami proof-of-concept- Przykładami implementacji remediacji- Przewodnikiem najlepszych praktyk walidacji danych wejściowych"# Automatyczny przepływ pracy testów penetracyjnychAgent: "Wykonaj automatyczny test penetracyjny używając Playwright MCP:
Metodologia testów penetracyjnych:1. Faza rozpoznania - Identyfikacja stosu technologicznego - Enumeracja katalogów i plików - Odkrywanie subdomen - Skanowanie portów i wykrywanie usług
2. Ocena podatności - Automatyczne skanowanie podatności - Manualna weryfikacja znalezisk - Eliminacja fałszywych pozytywów - Ocena i priorytetyzacja ryzyka
3. Faza eksploitacji - Rozwój proof-of-concept - Próby eskalacji uprawnień - Testowanie ruchu lateralnego - Scenariusze exfiltracji danych
4. Post-eksploitacja - Testowanie mechanizmów persistence - Techniki unikania logów - Walidacja integralności danych - Weryfikacja odzyskiwania systemu
Integracja automatycznych narzędzi testowych:- OWASP ZAP do skanowania podatności- Burp Suite do testowania manualnego- Nikto do skanowania serwera web- SQLMap do testowania injection
Rezultaty testów penetracyjnych:- Streszczenie wykonawcze z ryzykiem biznesowym- Szczegóły techniczne podatności- Demonstracje proof-of-concept- Mapa drogowa remediacji z terminami- Skrypty automatyzacji testów bezpieczeństwa"# Testy penetracyjne skupione na APIclaude "Przeprowadź testy penetracyjne API:
Ocena bezpieczeństwa API:1. Odkrywanie i enumeracja API - Odkrywanie i mapowanie endpointów - Fuzzing parametrów i walidacja - Testowanie metod HTTP (GET, POST, PUT, DELETE) - Wykrywanie i testowanie wersji
2. Autentyfikacja i autoryzacja - Manipulacja i cracking tokenów JWT - Enumeracja i walidacja kluczy API - Eksploitacja przepływu OAuth - Podatności zarządzania sesjami
3. Walidacja danych wejściowych i injection - Ataki injection JSON/XML - Testowanie zanieczyszczenia parametrów - Podatności mass assignment - Walidacja bezpieczeństwa przesyłania plików
4. Testowanie logiki biznesowej - Techniki obejścia rate limiting - Ataki manipulacji workflow - Metody obejścia walidacji danych - Podatności logiki ekonomicznej
Narzędzia testowania API:- Postman do manualnego testowania API- Skaner API OWASP ZAP- Rozszerzenia testowania API Burp Suite- Niestandardowe skrypty do automatycznego testowania
Oczekiwane rezultaty:- Ocena postury bezpieczeństwa API- Analiza wpływu podatności- Identyfikacja błędów logiki biznesowej- Rekomendacje ulepszenia bezpieczeństwa API- Framework automatycznego testowania bezpieczeństwa API"name: Pipeline testowania bezpieczeństwa
on: push: branches: [main, develop] pull_request: types: [opened, synchronize] schedule: - cron: '0 2 * * *' # Codzienne skany bezpieczeństwa
jobs: security-scan: runs-on: ubuntu-latest
steps: - uses: actions/checkout@v4
- name: Skonfiguruj serwery MCP bezpieczeństwa run: | # Zainstaluj narzędzia testowania bezpieczeństwa npm install @playwright/mcp@latest pip install security-mcp-server
# Skonfiguruj narzędzia skanowania bezpieczeństwa docker pull owasp/zap2docker-stable docker pull aquasec/trivy:latest
- name: Zbuduj i uruchom aplikację run: | npm install npm run build npm start & sleep 30 # Czekaj na uruchomienie aplikacji
- name: Uruchom testy bezpieczeństwa z MCP run: | # Użyj języka naturalnego do testowania bezpieczeństwa claude "Używając serwerów MCP bezpieczeństwa, wykonaj kompleksowy audyt bezpieczeństwa:
- Skanowanie podatności OWASP Top 10 - Testowanie autentyfikacji i autoryzacji - Testowanie walidacji danych wejściowych i injection - Walidacja bezpieczeństwa zarządzania sesjami - Ocena bezpieczeństwa przesyłania plików - Testowanie bezpieczeństwa API z rate limiting
Wygeneruj raport bezpieczeństwa z: - Klasyfikacją podatności (Krytyczne/Wysokie/Średnie/Niskie) - Rekomendacjami remediacji z przykładami kodu - Listą kontrolną testowania regresji bezpieczeństwa - Oceną zgodności (OWASP, NIST, SOC2)"
- name: Skan bezpieczeństwa kontenera run: | # Skanuj obrazy kontenerów w poszukiwaniu podatności docker run --rm -v /var/run/docker.sock:/var/run/docker.sock \ aquasec/trivy:latest image --severity HIGH,CRITICAL \ ${{ github.repository }}:${{ github.sha }}
- name: Prześlij raporty bezpieczeństwa uses: actions/upload-artifact@v4 with: name: security-reports path: | security-report.html vulnerability-scan.json penetration-test-results.pdf# Konfiguracja ciągłego monitorowania bezpieczeństwaAgent: "Skonfiguruj ciągłe monitorowanie bezpieczeństwa używając serwerów MCP:
Strategia monitorowania bezpieczeństwa:1. Skanowanie podatności w czasie rzeczywistym - Codzienne automatyczne skany bezpieczeństwa - Aktualizacje nowych baz danych podatności - Integracja threat intelligence zero-day - Rozwój niestandardowych reguł bezpieczeństwa
2. Zapobieganie regresji bezpieczeństwa - Walidacja bezpieczeństwa przed commit - Analiza bezpieczeństwa pull request - Sprawdzanie podatności zależności - Skanowanie bezpieczeństwa infrastruktury jako kodu
3. Automatyzacja odpowiedzi na incydenty - Korelacja alertów bezpieczeństwa - Automatyczne zawieranie zagrożeń - Generowanie dokumentacji incydentów - Przepływy pracy powiadomień stakeholderów
4. Monitorowanie zgodności - Śledzenie zgodności OWASP - Przestrzeganie standardów branżowych - Wymuszanie polityk bezpieczeństwa - Utrzymanie ścieżki audytu
Punkty integracji:- Integracja SIEM do analizy logów- Alerty Slack/Teams dla krytycznych problemów- Integracja JIRA do śledzenia podatności- Wizualizacja dashboardu z Grafana- Triggery automatycznych przepływów pracy remediacji"# PRD: Ocena bezpieczeństwa e-commerce# Wymagania: Zgodność OWASP Top 10, walidacja PCI DSS
"Używając Playwright MCP i serwerów bezpieczeństwa, wykonaj kompleksowy audyt bezpieczeństwa:
Kontekst biznesowy:- Platforma e-commerce przetwarzająca płatności kartami kredytowymi- 100K+ codziennych aktywnych użytkowników z danymi osobowymi- Integracja z zewnętrznymi procesorami płatności- API aplikacji mobilnej z autentyfikacją OAuth
Todo:- [ ] Ocena podatności OWASP Top 10- [ ] Walidacja bezpieczeństwa przetwarzania płatności- [ ] Testowanie autentyfikacji użytkowników i zarządzania sesjami- [ ] Testowanie walidacji danych wejściowych i ataków injection- [ ] Ocena bezpieczeństwa przesyłania plików- [ ] Walidacja bezpieczeństwa API i rate limiting- [ ] Testowanie zapobiegania cross-site scripting (XSS)- [ ] Ochrona cross-site request forgery (CSRF)- [ ] Szyfrowanie danych i zgodność prywatności- [ ] Wygeneruj raport zgodności PCI DSS
Kryteria sukcesu:- Zero krytycznych podatności- Osiągnięta zgodność OWASP Top 10- Zwalidowane wymagania PCI DSS- Zintegrowane automatyczne testowanie bezpieczeństwa- Dostarczone rekomendacje szkoleń bezpieczeństwa"# PRD: Walidacja bezpieczeństwa API mikroserwisów# Plan: Użyj serwerów MCP bezpieczeństwa + narzędzi testowania API
"Przetestuj bezpieczeństwo naszego API mikroserwisów kompleksowo:
Ocena bezpieczeństwa API:- RESTful API z autentyfikacją JWT- Endpoint GraphQL z kontrolą dostępu opartą na rolach- Połączenia WebSocket dla funkcji w czasie rzeczywistym- API przesyłania plików ze skanowaniem wirusów
Kategorie testów bezpieczeństwa:1. Autentyfikacja i autoryzacja - Manipulacja i walidacja tokenów JWT - Enumeracja kluczy API i brute force - Ocena bezpieczeństwa przepływu OAuth - Testowanie kontroli dostępu opartej na rolach
2. Walidacja danych wejściowych i injection - SQL injection w parametrach zapytań - NoSQL injection w zapytaniach dokumentów - Injection JSON i zanieczyszczenie parametrów - Injection GraphQL i ataki złożoności zapytań
3. Bezpieczeństwo logiki biznesowej - Techniki obejścia rate limiting - Podatności logiki ekonomicznej - Ataki manipulacji workflow - Metody obejścia walidacji danych
Todo:- [ ] Odkrywanie i mapowanie endpointów API- [ ] Testowanie bezpieczeństwa mechanizmów autentyfikacji- [ ] Walidacja granic autoryzacji- [ ] Testowanie sanityzacji i walidacji danych wejściowych- [ ] Ocena rate limiting i ochrony DDoS- [ ] Sprawdzenie ekspozycji danych i zgodności prywatności- [ ] Implikacje bezpieczeństwa wersjonowania API- [ ] Wygeneruj framework testowania bezpieczeństwa API
Oczekiwane SLA:- Zero podatności wysokiego ryzyka- Rate limiting API poniżej 1000 req/min na użytkownika- Wygaśnięcie tokenów JWT poniżej 1 godziny- Wszystkie wrażliwe dane szyfrowane w tranzycie/spoczynku"Wykrywanie wspierane przez AI
Odkrywanie podatności: 95% bardziej kompleksowe niż testowanie manualne
Redukcja fałszywych pozytywów: 80% mniej fałszywych pozytywów z analizą AI
Szybkość testowania: 10x szybsze oceny bezpieczeństwa
Pokrycie i zgodność
Pokrycie OWASP: Kompletne testowanie podatności Top 10
Standardy zgodności: Walidacja PCI DSS, SOC2, NIST
Ocena ryzyka: Inteligentna priorytetyzacja zagrożeń
Doświadczenie programisty
Język naturalny: “Przetestuj SQL injection w naszych formularzach”
Integracja MCP: Bezproblemowa orkiestracja narzędzi bezpieczeństwa
Automatyczne raporty: Praktyczne rekomendacje bezpieczeństwa
Wpływ biznesowy
Redukcja ryzyka: 90% mniej incydentów bezpieczeństwa
Koszt zgodności: 60% redukcja przygotowania do audytu
Czas odpowiedzi: 24/7 automatyczne wykrywanie zagrożeń
Skonfiguruj serwery MCP bezpieczeństwa
# Zainstaluj Playwright MCP do testowania bezpieczeństwa webnpx playwright install
# Skonfiguruj serwery MCP bezpieczeństwa w kliencie# Dodaj do mcp_settings.json lub ustawień CursorUruchom swój pierwszy skan bezpieczeństwa
# Testowanie bezpieczeństwa w języku naturalnymAgent: "Używając Playwright MCP, przeskanuj naszą stronę logowania w poszukiwaniu podatności OWASP Top 10"Przeanalizuj wyniki bezpieczeństwa
# Analiza podatności wspierana przez AI"Przeanalizuj wyniki skanu bezpieczeństwa i priorytetyzuj podatności według ryzyka biznesowego"Zaimplementuj poprawki bezpieczeństwa
# Uzyskaj wskazówki remediacji"Wygeneruj przykłady kodu do naprawienia zidentyfikowanych podatności SQL injection"Skonfiguruj ciągłe testowanie bezpieczeństwa
# Integruj z CI/CD"Utwórz przepływ pracy GitHub Actions do automatycznego testowania regresji bezpieczeństwa"# PRD: Ocena bezpieczeństwa aplikacji bankowej"Używając serwerów MCP bezpieczeństwa, wykonaj audyt bezpieczeństwa aplikacji finansowej:
Wymagania zgodności:- Zgodność PCI DSS Level 1- Walidacja kontroli finansowych SOX- Zgodność ochrony danych GDPR- Bezpieczeństwo uwierzytelniania wieloskładnikowego
Zakres testów bezpieczeństwa:1. Bezpieczeństwo przetwarzania płatności2. Podatności zarządzania kontami3. Walidacja integralności transakcji4. Testowanie systemu wykrywania oszustw5. Szyfrowanie danych i zarządzanie kluczami6. Kontrole zarządzania sesjami i timeout
Oczekiwane rezultaty:- Wykonawcza ocena ryzyka bezpieczeństwa- Szczegóły techniczne podatności- Analiza luk zgodności- Mapa drogowa implementacji remediacji"# PRD: Testowanie bezpieczeństwa wielodostępnego SaaS"Przetestuj bezpieczeństwo naszej platformy SaaS kompleksowo:
Bezpieczeństwo wielodostępności:- Walidacja izolacji danych tenant- Testowanie eskalacji uprawnień cross-tenant- Ocena bezpieczeństwa zasobów współdzielonych- Walidacja rate limiting per tenant
Matryca testów bezpieczeństwa:- Autentyfikacja: SSO, MFA, polityki haseł- Autoryzacja: RBAC, granice tenant- Dane: Szyfrowanie, bezpieczeństwo backup, zgodność GDPR- Infrastruktura: Bezpieczeństwo kontenerów, izolacja sieci
Wygeneruj kompleksowy raport z:- Przeglądem architektury bezpieczeństwa wielodostępnego- Wynikami weryfikacji izolacji danych- Gotowością certyfikacji zgodności- Konfiguracją monitorowania i alertów bezpieczeństwa"