PENLAB
System Online // v2.0

PENLAB

AI-drevet sikkerhedsscanner til moderne webapps

Scan dit site, opdag endpoints, test auth-flows, find datalæk og miskonfigurationer. Få risikoscorer på tværs af 21 kategorier med 275+ checkpoints, finansiel konsekvensanalyse, GDPR-dokumentation og copy-paste AI-rettelser.

Gratis scanning tager minutter. Ingen installation.

SE EKSEMPEL-RAPPORT
PENLAB://SCANNER
LIVE
SYS
0/41 ops275 checkpoints // 21 categories
275+
CHECKPOINTS
21
RISIKOKATEGORIER
<5 MIN
SCANNINGSTID
LIVE PLATFORM-DATA

Sikkerhed i tal

Realtidsdata fra PenLab-platformen — hver scanning gør nettet sikrere.

UNI
0
UNIKKE SITES SCANNET
SÅR
0
SÅRBARHEDER FUNDET
KRI
0
KRITISKE TRUSLER
DAT
0
DATALÆK OPDAGET
POT
$0
POTENTIEL RISIKO IDENTIFICERET
CHE
0
CHECKPOINTS EVALUERET
RECON-MÅL

Bygget til dem der shipper hurtigt

PenLab hjælper dig med at finde de reelle risici før angribere eller kunder gør det.

Indie-grundlæggere og små teams der shipper ugentligt

Bureauer der leverer kundesites og webapps

"Vibecoded" projekter bygget med AI-værktøjer (Lovable, Bolt osv.)

Next.js/Vercel-stacks med NextAuth, API-routes, edge functions

Supabase/Firebase-projekter hvor RLS/regler og storage ofte er forkonfigureret

Apps der bruger tredjeparts-formularer og automationsværktøjer (Zapier, HubSpot, Typeform)

HVAD VI SCANNER

Uanset din stack — vi finder hullerne

Fra one-page Shopify-butikker til enterprise-portaler. PenLab tilpasser sin scanning til din teknologi.

SHOPIFY WEBSHOPS

E-COMMERCE

Custom temaer, tredjeparts-apps, checkout-scripts og betalingsintegrationer — alt der håndterer kundedata og penge.

01

WORDPRESS SITES

CMS

Plugins, formularer, login-sider og REST-API'er. WordPress driver 40% af nettet — og er det mest angrebne CMS.

02

AI-BYGGEDE PROJEKTER

VIBE-CODED

Sites bygget med Lovable, Bolt, v0 eller Cursor. Hurtig prototyping = ofte manglende auth, åbne endpoints og eksponerede nøgler.

03

NEXT.JS / REACT APPS

MODERNE STACK

Server actions, API-routes, middleware auth, edge functions — moderne stacks med mange skjulte angrebsflader.

04

SAAS-PLATFORME

B2B / B2C

Brugerregistrering, roller, billing, multi-tenancy. PenLab tester IDOR, privilege escalation og datalæk på tværs af tenants.

05

DJANGO / LARAVEL / RAILS

BACKEND-FRAMEWORKS

Traditionelle server-renderede apps med ORM, sessions og template engines. Vi tester CSRF, SQL injection og auth-bypasses.

06

HEADLESS CMS FRONTENDS

JAMstack

Strapi, Sanity, Contentful frontends med API-keys i klientkoden, preview-endpoints og ukrypterede webhooks.

07

INTERNE TOOLS & DASHBOARDS

INTERN

Admin-paneler, back-office og interne dashboards bygget med Retool, Appsmith eller custom React. Ofte bag svag auth.

08

ENTERPRISE PORTALER & API'ER

ENTERPRISE

Kundeportaler, partner-API'er og microservices. PenLab scanner endpoint-matrix, rate limiting, CORS og token-validering.

09
SCANNINGSDÆKNING

PenLab scanner ikke bare sider. Den kortlægger hele din angrebsflade.

275+ checkpoints på tværs af 21 kategorier — fra endpoint-opdagelse til GDPR-dokumentation.

ENDPOINT-KATALOG

KERNE

Finder og registrerer hvert API-endpoint og metode ved hjælp af statisk analyse + runtime-netværksopsamling. Tester GET/POST/PUT/PATCH/DELETE/OPTIONS pr. endpoint.

01

AUTH PROBE INTELLIGENCE

Opretter automatisk testkonti, prober JWT-tokens, tester IDOR og privilege escalation, finder admin-paneler og analyserer login-flows på tværs af alle auth-udbydere.

02

DATALÆK-DETEKTION

Finder eksponerede databaserækker, credentials, storage-filer, PII, debug-endpoints, server actions og interne IP-adresser — med anonymiserede previews.

03

ADGANGSKONTROL & DATA-EKSPONERING

Opdager for bred adgang, usikre data-returneringer, storage-eksponering, RLS-fejl og fejl i privatlivs-håndhævelse.

04

FINANSIEL KONSEKVENSANALYSE

Estimerer potentielle tab i USD/DKK baseret på fundne sårbarheder med scenarie-opdeling per trusselstype.

05

GDPR-OVERHOLDELSESBEVISER

Genererer dokumentation for tekniske foranstaltninger under GDPR Art. 32 — klar til Datatilsynet med dækning af refererede artikler.

06

OWASP WSTG-DÆKNING

Følger OWASP Web Security Testing Guide v4.2 med automatiseret dækning og rapporterer nøjagtigt hvilke WSTG-tests der er kortlagt og evalueret.

07

STORAGE & UPLOAD-SIKKERHED

Flagger offentlige buckets, listing-eksponering, signed URL-tilstand, upload-restriktioner, Firebase public read/write og metadata-risici.

08

FEJLKONFIG & HÆRDNING

Sikkerhedsheadere, CORS-tilstand, debug-signaler, sourcemaps, fejl-lækning, caching af privat data og cookie-compliance.

09

FORSYNINGSKÆDE & HEMMELIGHEDER

Scanner JS-bundles for API-nøgler, tokens og hemmeligheder. Identificerer synlige afhængigheder med versioner så angribere kan CVE-opslag.

10

GENTEST-SAMMENLIGNING

Kør igen efter rettelser og få en før/efter-diff med scoredelta, rettede problemer, nye problemer og uændrede checks.

11

FULD PROBE AUDIT TRAIL

Komplet log over hver HTTP-forespørgsel scanneren foretog — med tidslinje, headers, response bodies og fase-opdeling. Total gennemsigtighed.

12
AI-AGENTER I AKTION

9 agenter. Én scanning.

PenLab kører parallelle AI-agenter der undersøger din applikation fra alle vinkler — samtidigt.

AUTH · BRUTE-FORCE
INITIALIZING...
SQLI · INJECTION
INITIALIZING...
RECON · PORT SCAN
INITIALIZING...
FUZZ · API ENDPOINTS
INITIALIZING...
XSS · PAYLOAD INJECT
INITIALIZING...
PATH · TRAVERSAL
INITIALIZING...
SESSION · COOKIES
INITIALIZING...
DATA · ENUMERATION
INITIALIZING...
RECON · FINGERPRINT
INITIALIZING...
9 parallelle agenter
275+ checkpoints
<5 min
TRUSSELMATRIX

21 kategori-risikoscorer du rent faktisk kan stole på

PenLab producerer en 0-10 risikoscore per kategori (0 stærk, 10 eksponeret) med tillidsindikatorer baseret på hvad der var observerbart i scanningen.

Brute force & credential-misbrug
3.2
MID
DDoS & trafikmodstandsdygtighed
5.8
MID
Auth & session-sikkerhed
7.1
HØJ
Adgangskontrol / IDOR / multi-tenant
8.4
HØJ
Data-eksponering & privatliv
6.3
HØJ
Injection-tilstand
2.1
LAV
Sikkerhedsfejlkonfiguration
4.9
MID
CORS & cross-origin-tilstand
5.5
MID
Forsyningskæde & hemmeligheder
7.7
HØJ
Fil-upload & storage-sikkerhed
3.8
MID
TLS & DNS-sikkerhed
1.9
LAV
XSS & frontend-sikkerhed
6.8
HØJ
CSRF-beskyttelse
3.1
MID
SSRF-tilstand
2.5
LAV
Webhooks-sikkerhed
4.2
MID
GraphQL & realtime
5.1
MID
Cache & CDN-tilstand
3.6
MID
AI-builder-sikkerhed
7.3
HØJ
Database-sikkerhed
4.4
MID
CMS-sikkerhed
2.8
LAV
Cookie & juridisk compliance
5.2
MID

GRATIS BRUGERE SER: SCORER + ANTAL FEJLEDE CHECKPOINTS PER KATEGORI + REDIGEREDE BEVIS-RESUMÉER.

OPERATIONSSEKVENS

Fra URL til sikkerhedsplan på minutter

01

INDTAST DIN URL

Angiv din app-URL og valgfri testlogin-oplysninger. PenLab håndterer resten.

02

STATISK ANALYSE & ASSET-OPDAGELSE

PenLab downloader HTML, JS-bundles, finder endpoints, formularer, teknologier og tredjeparts-integrationer.

03

AUTH & BAAS RECON

Prober auth-udbydere (Supabase, Firebase, NextAuth, Clerk, Auth0), opretter automatisk testkonti og analyserer sessions.

04

ENDPOINT MATRIX & DATALÆK

Tester HTTP-metoder pr. endpoint, finder debug-endpoints, server actions, datalæk og ubeskyttede mutationer.

05

STACK-SPECIFIKKE CHECKS

Kører platform-adaptere: middleware bypass, Supabase RLS, Firebase regler, public buckets og JWT-angreb.

06

SCORING & RAPPORT

275+ checkpoints scorer 21 kategorier. Genererer rapport med fund, beviser, finansiel konsekvens, GDPR-dokumentation og copy-paste AI-rettelser.

07

EKSPORTER & GENTEST

Eksporter som JSON, CSV, Excel, Markdown eller compliance-rapport (GDPR, OWASP, ISO 27001, SOC 2). Kør igen efter rettelser og få en før/efter-diff.

FUND

HVAD PENLAB FANGER

Rigtige eksempler på sikkerhedsproblemer fundet på tværs af moderne webapps — med beviser, angrebsscenarier og rettelser.

Supabase RLS-regler tillader kryds-konto dataadgang

CRITICAL

Row Level Security mangler eller er for bred — autentificerede brugere kan læse andre brugeres data via direkte API-kald.

Databaserækker eksponeret via ubeskyttet endpoint

CRITICAL

PenLab fandt 2.400+ brugerrækker tilgængelige uden autentificering — inkl. e-mails, navne og betalingsdata.

JWT-token kan omgå signaturverifikation

CRITICAL

Algorithm confusion-angreb tillader token-forfalskning. PenLab oprettede en testkonto og verificerede eskalering til admin.

Firebase Storage bucket er offentlig tilgængelig

HIGH

350+ filer kan downloades uden login — inkl. bruger-uploads, kontrakter og interne dokumenter.

API-nøgler og service-tokens i JS-bundle

CRITICAL

Supabase service_role key fundet i klient-side JavaScript. Giver fuld admin-adgang til databasen.

Server actions tilgængelige uden autentificering

HIGH

Next.js server actions til sletning og opdatering er callable uden session — muliggør destruktive operationer.

IDOR på bruger-profil endpoint

HIGH

Ændring af bruger-ID i request returnerer andre brugeres profiler og private data. Testet med automatisk oprettet konto.

Manglende rate limiting på login-endpoint

MEDIUM

Ingen lockout eller rate limit efter 100+ mislykkede login-forsøg. Brute force er trivielt.

Alt bevis er anonymiseret. PenLab gemmer aldrig lækket PII.

SIKKERHEDSPROTOKOL

Bygget til ansvarlig scanning

INGEN PII-LAGRING

Fund gemmer kun metadata, tællinger og anonymiserede beviser. Aldrig rigtige brugerdata.

SIKKER SOM STANDARD

Ingen destruktive operationer. Dry-run mode på alle farlige tests.

FULD GENNEMSIGTIGHED

Komplet probe audit trail — se hver HTTP-forespørgsel scanneren foretog med headers og response.

AUTOMATISK OPRYDNING

Testkonti oprettet under scanning slettes automatisk. Oprydningsrapport inkluderet.

GDPR-DOKUMENTATION

Genererer compliance-beviser under GDPR Art. 32 klar til Datatilsynet.

OMFANGSBEGRÆNSET

Scanninger fokuserer kun på det angivne domæne. Rate-limited for at undgå belastning.

GENTEST-TILSTAND

Kør igen efter rettelser og få en før/efter-diff med scoredelta.

ENGANGSPRIS

En scanning. En pris. Ingen abonnement.

Betal en gang, få din rapport. Ingen bindinger eller skjulte gebyrer.

HURTIG SCANNING

195 kr
ENGANGSPRIS

Bedst til: Et hurtigt overblik over de mest kritiske risici

Fuld scanning med 275+ checkpoints på tværs af 21 kategorier
Risikoscorer pr. kategori med pass/fail/N/A
De mest kritiske fund med alvorlighedsgrad
Datalæk-preview (anonymiseret)
Finansiel konsekvensestimat
Website-screenshot
Grundlæggende PDF-rapport

Ingen dybe løsningsforslag eller compliance-eksport inkluderet

ANBEFALET

FULD RAPPORT

995 kr
ENGANGSPRIS

Bedst til: Grundlæggere og teams der bygger med AI-værktøjer

Alt i Hurtig Scanning
Fuld detaljeret rapport med beviser og angrebsscenarier
AI-prompts til hver sårbarhed klar til copy-paste
Promptsene virker direkte i din AI-builder (Lovable, Bolt, Cursor osv.)
Auth Probe Intelligence (JWT, IDOR, privilege escalation)
GDPR-overholdelsesbeviser (Art. 32)
OWASP WSTG-dækning
Eksport: JSON, CSV, Excel, Markdown, compliance-rapport
Gentest-sammenligning (før/efter diff)
Fuld probe audit trail

ENTERPRISE

4.995 kr
ENGANGSPRIS

Bedst til: Teams der vil have en ekspert med på sidelinjen

Alt i Fuld Rapport
Personlig gennemgang af rapporten med en sikkerhedsekspert
1-til-1 videomøde hvor vi gennemgår alle fund
Prioriteret handlingsplan tilpasset din stack
Direkte sparring om arkitektur og sikkerhedsvalg
Compliance-rapport (GDPR, ISO 27001, SOC 2)
Opfølgningsscanning inkluderet
Prioriteret support i 30 dage
FELTMANUAL

Ofte stillede spørgsmål

KEND DIN REELLE SIKKERHEDSTILSTAND

Før dine brugere gør det.

START GRATIS SCANNINGSE EKSEMPEL-RAPPORT

Scorer på minutter. Rettelser når du er klar.