Er PenLab sikkert at bruge på produktion?

Ja. PenLab er designet til at være ikke-destruktivt og rate-limited. Destruktive tests kører i dry-run mode. Du kan se hver eneste HTTP-request i probe audit trail — fuld gennemsigtighed.

Gemmer I følsomme data fra min app?

PenLab viser dig de faktiske data vi fandt, så du kan se præcis hvad der er eksponeret. Alle testkonti slettes automatisk efter scanning. Rapporter er kun tilgængelige for dig via sikre adgangstokens.

Hvordan tester I autentificerede områder?

PenLab probler automatisk alle auth-providers (Supabase, Firebase, NextAuth, Clerk, Auth0 m.fl.) og opretter testkonti. Du kan også angive egne testcredentials til dybere test. JWT-angreb, IDOR, privilege escalation og account takeover testes automatisk.

Hvad er inkluderet i rapporten?

Risikoscorer på tværs af 21 kategorier (275+ tjek), detaljerede findings med angrebsscenarier og bevis, finansiel impact-analyse, datalæk-preview, GDPR Art. 32 dokumentation, OWASP WSTG dækning, webscreenshot, synlige dependencies med versioner, probe audit trail og retest diff.

Hvilke eksportformater understøttes?

PDF, JSON, CSV, Excel (multi-sheet med scores, findings, finansiel impact, datalæk, auth intelligence og GDPR), Markdown samt compliance-rapport med GDPR Art. 32, OWASP WSTG, ISO 27001 og SOC 2 mapping.

Hvilke stacks understøttes?

Moderne web stacks inkl. Next.js/Vercel, Supabase, Firebase, MongoDB, Clerk, Auth0, Zapier, HubSpot, Typeform og almindelige tredjeparts form handlers. Stack-specifikke adapters tester middleware bypass, RLS, buckets m.m.

Kan jeg bruge rapporten som GDPR-dokumentation?

Ja. Rapporten indeholder en GDPR-compliance sektion med refererede artikler, testede tjek, dækningsprocent og findings — klar til databeskyttelsesmyndigheder som dokumentation af rimelige tekniske foranstaltninger under Art. 32.

Hvad er inkluderet i avanceret pentest med agenter?

Avanceret pentest bruger specialiserede agenter (Auth Brute-Force, SQLi Injection, Port Scan, API Fuzz, XSS Payload, Path Traversal, Cookie Inspector, Data Enumeration, Recon Fingerprint m.fl.) til dyb penetrationstest inkl. forretningslogikfejl, race conditions og komplekse angrebskæder.

Hvordan hjælper PenLab med NIS2-overholdelse?

PenLabs sikkerhedsrapport matcher direkte til NIS2 Artikel 21s krav til tekniske sikkerhedsforanstaltninger. Du får automatiseret risikovurdering, sårbarhedshåndtering, GDPR Art. 32 dokumentation, OWASP WSTG dækning og fuld audit trail — al dokumentation du kan præsentere for tilsynsmyndigheder.

Hvad er OWASP Top 10 og hvordan dækker PenLab det?

OWASP Top 10 er den mest anerkendte liste over kritiske webapp-sikkerhedsrisici. PenLab følger OWASP Web Security Testing Guide (WSTG) v4.2 og mapper sine 275+ tjek til alle OWASP Top 10 kategorier inkl. Broken Access Control, Injection, Cryptographic Failures m.m.

Cloud Security til webapps: Sikring af Next.js, Supabase og Firebase | PenLab

Moderne webstacks = nye angrebsflader

Moderne webapplikationer bygget på cloud-platforme som Vercel, Supabase og Firebase giver enorm produktivitet — men også nye sikkerhedsudfordringer. Mange udviklere antager, at cloud-platformen håndterer sikkerhed automatisk. Det er kun delvist sandt.

Typiske problemer inkluderer: • Åbne Supabase-tabeller uden Row Level Security (RLS) • Firebase Storage-buckets med public read/write • Next.js API-routes uden auth-middleware • Eksponerede environment variables i client-side bundles • JWT-tokens med for lange levetider • Manglende CORS-konfiguration

Next.js: Middleware, API-routes og server actions

Next.js er den mest populære React-framework og bruges af tusindvis af danske virksomheder. PenLab har stack-specifikke adaptere til Next.js der tester:

• Middleware bypass — kan auth-middleware omgås med specielle paths? • API-route sikkerhed — er alle endpoints beskyttet med korrekt auth? • Server Actions — er input-validering på plads? • Headers og CSP — er Content Security Policy korrekt konfigureret? • Environment variables — lækker .env-værdier til clienten?

PenLab identificerer automatisk Next.js-versionen og tilpasser sine tests derefter.

Supabase og Firebase: Auth og database-sikkerhed

BaaS-platforme (Backend-as-a-Service) som Supabase og Firebase er enormt populære, men standard-konfigurationen er sjældent sikker nok:

Supabase: • RLS-policies skal defineres eksplicit per tabel • Storage-buckets skal have korrekte policies • Edge Functions skal validere JWT-tokens • Database-rollen "anon" giver ofte for brede rettigheder

Firebase: • Firestore Security Rules skal defineres for hver collection • Firebase Storage Rules skal begrænse adgang • Auth-konfiguration skal hærdes (email enumeration, bruteforce) • Cloud Functions skal validere caller-context

PenLab tester automatisk disse platforme og rapporterer konkrete fund med rettelsesforslag.

Automatiser din cloud security-test

Manuelt at teste hele din cloud-webapp er tidskrævende og fejlbehæftet. PenLab automatiserer processen:

1. Indtast din URL — PenLab identificerer automatisk din stack 2. Automatisk discovery — endpoints, auth-udbydere og tredjepartstjenester kortlægges 3. Stack-specifikke tests — Next.js middleware, Supabase RLS, Firebase rules 4. Rapport med rettelsesforslag — konkrete anbefalinger tilpasset din stack

Kør en gratis scanning nu og se, hvad din webapp eksponerer.

Cloud security til webapps

Moderne webstacks = nye angrebsflader

Next.js: Middleware, API-routes og server actions

Supabase og Firebase: Auth og database-sikkerhed

Automatiser din cloud security-test

Relaterede artikler

Klar til at teste din webapp?