网络安全咨询 · Studio Cociu

Q: 什么是 Letter of Authorization，为什么是强制的？

È il documento firmato dal rappresentante legale che autorizza le attività di test specificando IP, domini e finestra temporale. Senza LoA non si inizia alcuna attività.

Q: 你们遵循哪些标准和方法论？

OWASP Top 10 per le web application, PTES per il processo e NIST SP 800-115 come riferimento tecnico.

Q: 你们只在获授权的系统上操作吗？

Sempre ed esclusivamente nel perimetro definito dalla Letter of Authorization. Nessun test su sistemi di terzi o fuori scope.

Q: 评估结束时我会得到什么？

Un report tecnico con evidenze e remediation prioritizzate e un executive summary per il board, con presentazione ai 决策者 per gli engagement più ampi.

Q: 一次合作持续多久？

Da 5-7 giorni per un Web Application Assessment a 3-6 settimane per un Full Red Team, in base allo scope.

服务

选择您的服务级别

每次合作都从法定代表人签署的 Letter of Authorization 开始，明确 IP、域名和时间窗口。不会进行约定范围之外的任何活动。

Starter

€3.500 / progetto

Web Application Assessment

1 个域名 / Web 应用
完整 OWASP Top 10
身份验证与业务逻辑测试
技术报告 + 高管摘要
5–7 天交付

开始

最受欢迎

Business

€8.000 / progetto

Infrastructure Assessment

网络 + Web（最多一个 /24）
漏洞评估 + 受控利用
配置与暴露面分析
技术报告 + 优先级修复路线图
向团队展示结果
10–15 天交付

开始

Executive

€25.000 / progetto

Full Red Team Engagement

真实多向量攻击模拟
社会工程（仅在获授权时）
内部团队的检测与响应测试
面向董事会 / 董事的高管报告
直接向决策者汇报
后续修复复查 · 历时 3–6 周

联系我们

方法论

严谨的方法，而非简单的扫描器

我们将国际公认标准与人工验证相结合。自动化只能找到噪声；人工分析才能找到真正重要的东西。

Recon & mapping

枚举暴露的面、服务和技术，精确界定真正可被攻击的对象。

OWASP · PTES · NIST

测试依据 OWASP Top 10、PTES 和 NIST SP 800-115 进行：系统化、可重复且有记录的覆盖。

受控利用

漏洞不仅被报告：在获授权处，会在不损害系统的前提下展示真实影响。

两级报告

面向操作者的技术报告含证据与修复建议，面向决策者的清晰高管摘要。

流程

初次接触

与企业对接人确定范围、目标和时间表。

Letter of Authorization

法定代表人签署：授权的 IP、域名和时间段，白纸黑字写明。

Engagement

在约定边界内进行评估。无越界活动，持续沟通。

Report

在约定期限内交付技术报告和高管摘要。

复盘

向决策者汇报并提供优先级修复路线图。

即将推出 · 仅限受邀

由 AI 赋能的安全评估

我们正在集成能够对源代码进行推理的新一代模型，发现传统基于模式的扫描器无法检测的漏洞类别。

Studio Cociu 正在申请 Anthropic 生态的高级访问计划资格，并在 Google Cloud Next 2026 上密切关注了相关演示。

由 Anthropic 发布的研究展示了能够发现成熟软件中潜伏二十多年漏洞的模型。我们将这一方法带入专业评估。

申请抢先体验

AI-native

对代码进行推理的分析，而不仅是模式匹配

仅限受邀

限量抢先体验

Next '26

出席 Google Cloud Next 2026

资格申请中

Anthropic 高级访问计划

FAQ

常见问题

合作前最常被问到的问题解答。

什么是 Letter of Authorization，为什么是强制的？

这是由组织法定代表人签署的文件，正式授权测试活动并明确 IP 地址、域名和时间窗口。没有 LoA 我们不会开始任何活动：它使渗透测试合法且可追溯。

你们遵循哪些标准和方法论？

Web 应用采用 OWASP Top 10，整体流程采用 PTES（Penetration Testing Execution Standard），技术参考采用 NIST SP 800-115。覆盖系统化、可重复且有记录。

你们只在获授权的系统上操作吗？

始终且仅限如此。每项活动都在 LoA 界定的边界内进行。绝不会在第三方系统或约定范围之外进行任何测试。

评估结束时我会得到什么？

一份含证据和优先级修复建议的技术报告，以及一份董事会可读的高管摘要。对于较大型的合作，还包含向决策者的直接汇报。

一次合作持续多久？

取决于范围：Web Application Assessment 需 5–7 天，Infrastructure Assessment 需 10–15 天，Full Red Team 需 3–6 周。确切时间表在初始阶段确定。

智能体支付

也可由 AI 智能体购买

本服务依据前沿的智能体商务协议开放：AI 智能体可自主发现目录并启动合作。但每次合作仍从范围界定预付款和已签署的 Letter of Authorization 开始。

UCP · Google

面向 Gemini 和 AI Mode 的 Universal Commerce Protocol。
/.well-known/ucp

ACP · OpenAI

面向 ChatGPT 和 Operator 的 Agentic Commerce Protocol，经由 Stripe。
/.well-known/acp

x402

面向智能体的原生 HTTP 402 支付。
/.well-known/x402

启动合作

500 欧元范围界定预付款以启动评估。余款在签署 Letter of Authorization 并确定范围后结算。人类：通过 SumUp 支付。AI 智能体：通过 Stripe (ACP) 支付。

联系

开始您的评估

描述您的范围，您将在 24 小时内收到包含方案和 Letter of Authorization 模板的回复。