Checklist v penetračním testování: proč na něm záleží víc, než si myslíte

V tomto článku chceme vysvětlit, proč jsou checklisty v penetračním testování mnohem důležitější, než se na první pohled zdá, jak je vnímáme my v Penterep, jaké checklisty už dnes nabízíme a co chystáme dál.

Daniel Grunwald
Daniel Grunwald
11.05.2026Novinky

Checklist v penetračním testování: proč na něm záleží víc, než si myslíte

Každý, kdo někdy dělal penetrační test, ten okamžik zná. Otevřete nový projekt, pustíte si terminál, mrknete na rozsah a začnete pracovat. Jenže po hodině práce zjistíte, že jste skočili rovnou doprostřed a několik kroků jste přeskočili. Některé proto, že vám v tu chvíli připadaly samozřejmé, jiné prostě proto, že vám v hlavě v ten den nebyly.

Checklist v penetračním testování

Nestane se nic dramatického, žádná katastrofa, žádný klient se nezhroutí. Jen prostě zranitelnost, která tam možná byla, zůstala neodhalená. A přesně kvůli tomuhle tichému, nenápadnému selhání existují checklisty.

V tomto článku chceme vysvětlit, proč jsou checklisty v penetračním testování mnohem důležitější, než se na první pohled zdá, jak je vnímáme my v Penterep, jaké checklisty už dnes nabízíme a co chystáme dál. A taky proč v nich vidíme nejen nástroj pro kvalitnější testování, ale i příležitost pro testery, kteří chtějí své know-how monetizovat.

Co checklist v Penterepu vlastně je

Checklist v Penterepu není tabulka políček, která se odfajfkuje a založí. Není to formální papír, který někdo vytiskne, podepíše a uloží do šuplíku. Je to strukturovaný průvodce penetračním testem, krok za krokem, který testera provede celým procesem tak, aby na nic podstatného nezapomněl, a zároveň aby věděl, co a proč v dané fázi testuje.

Zní to jednoduše. V praxi je to ale rozdíl mezi testem, který skutečně pokryje všechno, co měl, a testem, jehož kvalita závisí především na tom, jak se ten den tester vyspal, kolik měl kávy a kolik podobných projektů si pamatuje z minulého roku.

Dobrý checklist přitom nediktuje, jak testovat. Říká, co otestovat, a nechává prostor pro vlastní úsudek, kreativitu i specifika dané aplikace nebo prostředí. To je klíčový rozdíl. Checklist není náhrada za znalosti ani za zkušenost.

Je to kostra, na které zkušený tester staví své postupy, a zároveň pevná opora pro juniora, který se ještě učí. Senior díky checklistu pracuje rychleji a systematičtěji, protože nemusí v hlavě udržovat celou metodiku najednou. Junior díky checklistu postupuje jako senior, protože ho proces vede a zároveň ho učí.

To přesně odpovídá filozofii Penterepu, kde rozsáhlá znalostní báze a detailní návody k jednotlivým testům umožňují méně zkušeným testerům vzdělávat se přímo během práce.

Tohle není jen marketingová proklamace. Vědecká studie publikovaná v časopise Computers & Security pod hlavičkou Vysokého učení technického v Brně, Penterep: Comprehensive penetration testing with adaptable interactive checklists , popisuje interaktivní checklisty jako kvantifikovatelnou míru úplnosti testu a ukazuje, že spoléhat se výhradně na automatizované nástroje k odhalení všech zranitelností nestačí.

Manuální kroky vedené metodicky jsou nezastupitelné. Studie zároveň zdůrazňuje, že tento přístup nestojí proti zavedeným metodikám jako OWASP, OSSTMM, PTES nebo NIST, ale doplňuje je do podoby, která je v reálné praxi použitelná.

Proč to nestačí řešit „od oka"

Spousta zkušených testerů pracuje podle vlastních zavedených postupů, a v zásadě je to v pořádku. Pokud testujete pořád ty samé typy aplikací, ve stejném rozsahu, sami a pro stejné klienty, vlastní hlava s notesem může chvíli stačit.

Problém začíná ve chvíli, kdy se cokoliv z toho změní. Do týmu přijde nový člověk, je potřeba předat projekt kolegovi, klient se po půl roce vrátí a vy chcete porovnat výsledky proti předchozímu testu, nebo se rozsah práce rozroste natolik, že už si víc lidí mezi sebou nedokáže udržet konzistenci.

Bez checklistu závisí kvalita testu na konkrétním člověku a jeho aktuálním stavu. S checklistem závisí na procesu. A proces se dá zlepšovat, sdílet, předávat a opakovat.

To je fundamentální posun, kterého si velké pentesterské týmy všímají, protože právě konzistence rozhoduje o tom, jestli klient dostane každý rok srovnatelný výstup, nebo ruletu závislou na tom, kdo má ten projekt zrovna na stole.

A pak je tu ještě jedna věc, kterou trh v posledních letech tlačí stále výš. Auditovatelnost. Klient i regulátor se totiž čím dál častěji neptají jenom na to, co jste našli, ale i na to, co jste testovali.

To není totéž. Checklist tuhle otázku zodpovídá automaticky, protože ukazuje rozsah pokrytí. V kontextu evropské směrnice NIS 2, která zvyšuje nároky na demonstraci kybernetické odolnosti u stovek nových organizací, je tahle schopnost ukázat kontrolovatelný a opakovatelný proces stále cennější. A často i přímo vyžadovaná.

Když checklist chybí: čerstvý příklad ze síťové infrastruktury

Že síťová infrastruktura je dlouhodobě podceňovaným slepým místem, ukázala mimo jiné kampaň skupiny APT28 (známé také jako Fancy Bear nebo Forest Blizzard), proti které v březnu 2026 zasáhla mezinárodní operace Masquerade vedená americkou FBI ve spolupráci s českým Vojenským zpravodajstvím a NÚKIB.

Útočníci, spojovaní s ruskou vojenskou rozvědkou GRU, kompromitovali tisíce SOHO routerů, primárně modely TP-Link TL-WR841N, přes zranitelnost CVE-2023-50224, která umožňovala obejít autentizaci.

Po průniku přepsali na zařízeních nastavení DHCP a DNS tak, aby provoz připojených počítačů a telefonů procházel přes DNS servery útočníků, a u vybraných služeb podstrkávali podvržené odpovědi pro adversary-in-the-middle útoky na šifrovanou komunikaci.

Na vrcholu kampaně, v prosinci 2025, komunikovalo s infrastrukturou APT28 přes 18 000 unikátních IP adres ze 120 zemí .

Co je na tom ale z pohledu testera nejdůležitější? Klíčový vstupní vektor byl banální. Zařízení s výchozími nebo slabými hesly, neaktualizovaný firmware, otevřené management rozhraní.

To jsou přesně ty body, které dobrý infrastrukturní checklist nikdy nemine, protože jsou v něm. Tam, kde proces selhává a tester se spoléhá na intuici, mohou tyhle „nudné" položky lehce vypadnout a útočník dostane dárek. Tam, kde proces funguje, vypadnout nemůžou.

Co v Penterepu teď máme a co chystáme

Naše checklisty vycházejí z reálné praxe, ne z teorie napsané v učebnici. Každý z nich má za sebou desítky reálných projektů a iterace, kterými prošel od první verze.

WordPress byl jednou z prvních oblastí, kterou jsme pokryli. Má svá specifika, od ekosystému zranitelných pluginů přes konfigurační typické chyby až po ověřovací mechanismy.

Webové aplikace jsou srdcem toho, co dělá většina testerů. Vedle klasického checklistu postaveného nad OWASP Web Security Testing Guide , máme i vlastní dynamický checklist postavený na dvaceti letech zkušeností Romana Kümmela.

Náš dynamický checklist reaguje na to, co reálně vidíme v projektech, nejen na to, co předepisuje metodika.

Síťová infrastruktura je oblast, na které pracujeme právě teď. Checklist pro ni aktuálně testujeme v interním provozu a brzy bude v platformě k dispozici.

OSINT přijde na řadu po infrastruktuře. Vzniká ve spolupráci s předním českým odborníkem na OSINT vyšetřování a chceme, aby pokryl nejen technickou stránku sběru dat, ale i metodologii vyšetřovacího procesu.

Dalším oblastem se budeme věnovat postupně podle toho, kde vidíme největší poptávku a kde dokážeme nasadit autoritativní zdroj know-how. Cílem není mít sto checklistů, ale mít ty, které opravdu fungují.

Byznysová příležitost, o které se moc nemluví

Tohle je část, která nás baví asi nejvíc, a o které si myslíme, že ji hodně lidí přehlíží.

Pokud máte Enterprise licenci Penterepu, můžete si vytvořit vlastní checklist. Ať už pro interní potřebu vašeho týmu, pro specifické typy zakázek, nebo komerčně pro distribuci dál.

V platformě je marketplace, kde jsou naše checklisty dostupné ostatním uživatelům, a brzy přibude možnost stát se certifikovaným autorem.

Jako certifikovaný autor budete moci checklisty vytvořené na základě vlastního know-how distribuovat právě skrze marketplace, buď zdarma, nebo za cenu, kterou si sami určíte.

Jiný tester si váš checklist koupí, použije ho ve svém projektu, a vy zároveň finančně benefitujete z know-how, které byste jinak museli sdílet skrze knihu, konferenci nebo soukromé konzultace.

Pro nás je to způsob, jak udělat z platformy živý ekosystém, ne jen statický nástroj. Pro autory je to způsob, jak nechat své dlouholeté zkušenosti pracovat bez nutnosti psát knihu nebo organizovat školení.

Na závěr

Checklist je jednoduchý nápad s překvapivě velkým dopadem. Nezaručí, že penetrační test bude dokonalý. To nic neumí, a kdo tvrdí opak, lže.

Ale výrazně sníží šanci, že bude špatný, nedůsledný nebo neopakovatelný.

V oboru, kde jeden přehlédnutý parametr může znamenat únik dat tisíců uživatelů, to není málo. Je to rozdíl mezi řemeslem a procesem, mezi výkonem jednotlivce a kvalitou týmu.

Pokud vás zajímá, jak naše pojetí checklistů vypadá v praxi a jak by mohlo zapadnout do vaší práce, ať už jste samostatný tester, vedete tým, nebo si chcete platformu vyzkoušet jako autor vlastního obsahu, podívejte se na Penterep nebo nás kontaktujte.

Rádi vám platformu ukážeme naživo.

Nedávné příspěvky

Penterep na Hacking Days: Jak studenti Univerzity obrany trénují reálný penetrační test

Novinky

Penterep na Hacking Days: Jak studenti Univerzity obrany trénují reálný penetrační test

Soutěž Hacking Days na Univerzitě obrany už dávno není jen technickou disciplínou. Studenti si tu na vlastní kůži zkoušejí to, co je čeká v praxi.

Pavel Hanuš
Pavel Hanuš
13.05.2026
Pentest v době AI: proč checklist není přežitek, ale váš nejsilnější argument

Novinky

Pentest v době AI: proč checklist není přežitek, ale váš nejsilnější argument

Skenery jsou rychlejší, agenti dokážou vygenerovat exploit v reálném čase a celé fáze testu se odehrávají bez lidského zásahu. Vzniká tak otázka, kterou dnes slýcháme čím dál častěji: má v této době ještě smysl strukturovaný, checklistový pentest?

Pavel Hanuš
Pavel Hanuš
05.05.2026
Jak rozšířit své služby o penetrační testování a využít rostoucí poptávku

Novinky

Jak rozšířit své služby o penetrační testování a využít rostoucí poptávku

Kybernetická bezpečnost se stává jednou z nejrychleji rostoucích oblastí IT služeb.

Pavel Hanuš
Pavel Hanuš
30.04.2026