Jak otestovat zranitelnost webu (i bez hackerské kápy)

Proč testovat bezpečnost webu?

Bezpečnostní testování není jen pro banky nebo e-shopy. I malý firemní web může být napaden – pro spam, phishing nebo jen „pro zábavu“.
Testováním zjistíte:

• jestli jsou formuláře chráněné proti XSS a SQL injection
• jestli máte správně nastavené hlavičky a HTTPS
• jestli jsou přístupná citlivá data nebo administrační rozhraní

Základní způsoby testování

1. Ruční testování (manuální průchod)

Projděte si web jako potenciální útočník:

• Zkuste do formulářů vložit HTML nebo JavaScript (např. <script>alert(1)</script>)
• Sledujte URL – lze měnit ID uživatelů nebo přistoupit k cizím datům?
• Ověřte, zda není přístupná /admin, /phpinfo, /backup.zip apod.
• Otevřete konzoli prohlížeče – neobjevují se chyby nebo citlivé údaje?

2. Automatizované nástroje

Existuje řada bezpečnostních scannerů, které vám pomůžou najít zranitelnosti:

• OWASP ZAP – open-source nástroj na analýzu webů
• Burp Suite (Community) – pokročilý nástroj pro testování
• Nikto – příkazový nástroj pro testování serveru
• SecurityHeaders.com – kontrola bezpečnostních hlaviček
• SSL Labs Test – test certifikátu a SSL konfigurace

3. Kontrola serveru a kódu

• Zkontrolujte, zda server nevrací verzi PHP, frameworku nebo CMS
• Ověřte, zda nejsou zapnuté chybové výpisy na produkci
• Projděte logy – sledujte neobvyklé požadavky a opakované pokusy
• Zkontrolujte práva souborů a složek

Bonus: Testy v Laravelu

Používáte Laravel? Můžete rovnou testovat i přes vestavěné nástroje:

• php artisan security:check – externí balíčky (např. enlightn/security-checker)
• Middleware pro kontrolu CSRF, XSS, cookies, rate limitů
• Ujistěte se, že jsou správně nastaveny APP_DEBUG=false a APP_ENV=production

Co dál?

• Sledujte doporučení OWASP Top 10
• Pravidelně aktualizujte CMS, knihovny a závislosti
• Nepodceňujte testování u každého nového formuláře nebo funkce
• Nechte udělat externí bezpečnostní audit