GoldSecurity.com — Penetration Testing & Red Teaming · Stockholm
Gold Security GOLDSECURITY
ServicesTjänster MethodologyMetodik Sample reportExempelrapport ClientsKunder Book a scoping callBoka scopingmöte
OFFENSIVE SECURITY · STOCKHOLMOFFENSIV SÄKERHET · STOCKHOLM

We break in first.Vi bryter oss in först.

Penetration testing and red teaming by vetted offensive-security specialists. Find your weaknesses before an attacker does.Penetrationstester och red teaming av granskade specialister inom offensiv säkerhet. Hitta dina svagheter innan en angripare gör det.

CERTIFIED SCANDINAVIAN ACUNETIX PARTNER · TRUSTED BY TRUECALLER & TRUSTLYCERTIFIERAD SKANDINAVISK ACUNETIX-PARTNER · ANLITAS AV TRUECALLER & TRUSTLY
PARTNERSHIPPARTNERSKAP
Certified Scandinavian Acunetix PartnerCertifierad skandinavisk Acunetix-partner
CLIENTSKUNDER
Trusted by Truecaller, Trustly and NorthmillAnlitas av Truecaller, Trustly och Northmill
TRACK RECORDMERITER
Our network has included Google Hall-of-Fame-ranked researchersVårt nätverk har inkluderat forskare rankade i Googles Security Hall of Fame
MODELMODELL
Independent specialists, assembled per engagementOberoende specialister, tillsatta per uppdrag
WHY MANUALDÄRFÖR MANUELLT
Automated scanners find the easy 20%. The breach comes from the other 80% — the logic flaws, the chained exploits, the assumptions no tool questions.Automatiserade skannrar hittar de enkla 20 %. Intrånget kommer från de andra 80 % — logikfelen, de kedjade exploiterna, antagandena som inget verktyg ifrågasätter.
That is what we test by hand. Tooling assists the specialist we assign; it never substitutes for them.Det är det vi testar för hand. Verktyg stödjer specialisten vi tillsätter — de ersätter den aldrig.
A SCANNER FLAGSEN SKANNER FLAGGARA SPECIALIST FINDSEN SPECIALIST HITTAR
Outdated TLS configUtdaterad TLS-konfigBusiness-logic bypass in checkoutAffärslogik kringgås i checkout
Known CVEsKända CVE:erChained privilege escalationKedjad privilegieeskalering
Missing headersSaknade headersCross-tenant data exposureDataläckage mellan tenanter
Default credentialsStandardlösenordPassword-reset token takeoverKontokapning via reset-token
HOW WE WORKSÅ ARBETAR VI

We don't sell you a bench.Vi säljer ingen bänk.

Gold Security is a boutique. There is no bench of salaried juniors — for each engagement we assemble vetted, independent offensive-security specialists matched to your stack, and we stand behind the result.Gold Security är en boutiquebyrå. Här finns ingen bänk med anställda juniorer — för varje uppdrag sätter vi samman granskade, oberoende specialister inom offensiv säkerhet, matchade mot din stack, och vi står bakom resultatet.

Over the years our network has included researchers ranked on Google's Security Hall of Fame and long-serving public-sector security specialists.Genom åren har vårt nätverk inkluderat forskare rankade i Googles Security Hall of Fame och säkerhetsspecialister med lång bakgrund i offentlig sektor.

01
Senior only, no fillerEnbart seniora, ingen utfyllnad
Every specialist is vetted on real engagements before they ever see a client's scope. Manual testing to OSCP/OSCE-level practice — not a rebadged scan.Varje specialist prövas i skarpa uppdrag innan de ser en kunds scope. Manuell testning på OSCP/OSCE-nivå — ingen ompaketerad skanning.
02
Matched to your stackMatchade mot din stack
A fintech API, a mobile app, an AWS estate — the specialist we assign has broken that class of system before.Ett fintech-API, en mobilapp, en AWS-miljö — specialisten vi tillsätter har knäckt den typen av system förut.
03
One accountable engagementEtt ansvarigt uppdrag
Scoped, led and quality-controlled by Gold Security. You get one contract, one report, one line of accountability.Scopat, lett och kvalitetssäkrat av Gold Security. Du får ett avtal, en rapport, en ansvarslinje.
SERVICESTJÄNSTER

What we test.Det här testar vi.

FINDINGS ≤ 10 BUSINESS DAYSFYND ≤ 10 ARBETSDAGAR
RETEST INCLUDED ≤ 30 DAYSOMTEST INGÅR ≤ 30 DAGAR
01 · WEB & API01 · WEBB & API
Web & API penetration testingPenetrationstest av webb & API
Authentication, session and access control, business logic, injection, tenant isolation. Manual exploitation of the paths scanners can't reason about.Autentisering, sessioner och åtkomstkontroll, affärslogik, injektioner, tenant-isolering. Manuell exploatering av vägarna skannrar inte kan resonera kring.
ALIGNED  STANDARD OWASP WSTG · ASVS
OUTPUT   LEVERANS Report + retest · typ. 1–3 weeksRapport + omtest · normalt 1–3 veckor
02 · MOBILE
Mobile application testingTest av mobilappar
iOS and Android — client hardening, local storage, transport, and the APIs behind the app. Static and dynamic analysis by hand.iOS och Android — klienthärdning, lokal lagring, transport och API:erna bakom appen. Statisk och dynamisk analys för hand.
ALIGNED  STANDARD OWASP MASVS · MASTG
OUTPUT   LEVERANS Report + retest · typ. 2–3 weeksRapport + omtest · normalt 2–3 veckor
03 · NETWORK03 · NÄTVERK
External & internal network testingExterna & interna nätverkstest
Perimeter exposure, Active Directory attack paths, segmentation and lateral movement — from the internet in, or from an assumed foothold.Exponering mot internet, attackvägar i Active Directory, segmentering och lateral rörelse — utifrån och in, eller från ett antaget fotfäste.
ALIGNED  STANDARD PTES · MITRE ATT&CK
OUTPUT   LEVERANS Report + retest · typ. 1–2 weeksRapport + omtest · normalt 1–2 veckor
04 · RED TEAM
Red team engagementsRed team-uppdrag
Objective-based adversary simulation against people, process and technology — initial access through to your crown jewels, with a detection-and-response readout.Målstyrd angriparsimulering mot människor, processer och teknik — från initial åtkomst till era kronjuveler, med genomgång av detektion och respons.
ALIGNED  STANDARD MITRE ATT&CK · TIBER-EU
OUTPUT   LEVERANS Report + debrief · typ. 4–8 weeksRapport + debrief · normalt 4–8 veckor
05 · CLOUD05 · MOLN
Cloud security reviewGranskning av molnsäkerhet
AWS, Azure and GCP — IAM, network and service configuration reviewed by hand, then chained into the attack paths a real intruder would take.AWS, Azure och GCP — IAM, nätverk och tjänstekonfiguration granskas för hand och kedjas sedan till de attackvägar en verklig angripare skulle ta.
ALIGNED  STANDARD CIS Benchmarks · ATT&CK Cloud
OUTPUT   LEVERANS Report + retest · typ. 1–2 weeksRapport + omtest · normalt 1–2 veckor
06 · APPSEC
Secure code reviewSäker kodgranskning
Manual review of your critical flows — auth, payments, crypto, file handling — with SAST output triaged into what actually matters.Manuell granskning av dina kritiska flöden — auth, betalningar, krypto, filhantering — med SAST-resultat triagerade till det som faktiskt spelar roll.
ALIGNED  STANDARD OWASP ASVS · CWE Top 25
OUTPUT   LEVERANS Report + walkthrough · typ. 1–2 weeksRapport + genomgång · normalt 1–2 veckor
METHODOLOGYMETODIK

No mystery. That's the point.Inga mysterier. Det är poängen.

A high-trust purchase should have the least mysterious process. This is the whole engagement — what we need from you, what you get, and the standards we test to.Ett köp som kräver högt förtroende ska ha den minst mystiska processen. Det här är hela uppdraget — vad vi behöver av dig, vad du får, och standarderna vi testar mot.

01
ScopeOmfattning
We map your assets and threat model together and fix the rules of engagement. You know exactly what is tested, what isn't, and what it costs to start.Vi kartlägger era tillgångar och er hotmodell tillsammans och fastställer spelreglerna. Du vet exakt vad som testas, vad som inte testas och vad det kostar att börja.
02
TestTestning
Manual exploitation by your assigned specialist, aligned to OWASP WSTG, PTES and MITRE ATT&CK. Tooling assists; it never substitutes.Manuell exploatering av din tillsatta specialist, i linje med OWASP WSTG, PTES och MITRE ATT&CK. Verktyg stödjer — de ersätter aldrig.
03
ReportRapport
Severity-rated findings with reproduction steps, business impact and concrete remediation — written for your engineers and your auditors alike.Allvarlighetsgraderade fynd med reproduktionssteg, affärspåverkan och konkreta åtgärder — skrivna för både dina ingenjörer och dina revisorer.
04
RetestOmtest
You fix, we verify. Retest of every finding is included within 30 days, and the report is updated to show it.Ni åtgärdar, vi verifierar. Omtest av varje fynd ingår inom 30 dagar, och rapporten uppdateras därefter.
WHAT WE DON'T DOVAD VI INTE GÖR
We don't resell a scan and call it a pentest. If a finding can't be reproduced, it doesn't ship.Vi säljer inte en skanning och kallar den ett pentest. Kan ett fynd inte reproduceras levereras det inte.
GS-26-014 · FINDING 03 OF 11GS-26-014 · FYND 03 AV 11 REDACTED EXCERPTMASKERAT UTDRAG
CRITICALKRITISK CVSS 9.1
Predictable password-reset token permits full account takeoverFörutsägbar lösenordsåterställningstoken möjliggör full kontokapning
$ curl -s https:///reset?uid=1042
token derived from epoch ms — brute-forced in 214 sknäckt på 214 s
session issued for (admin)
REMEDIATION  ÅTGÄRD  Random 128-bit single-use tokens, 15-min expirySlumpade 128-bitars engångstoken, 15 min giltighet
RETEST      OMTEST  FIXED — VERIFIED 2026-03-14ÅTGÄRDAT — VERIFIERAT 2026-03-14
SAMPLE REPORTEXEMPELRAPPORT

Read a report before you buy one.Läs en rapport innan du köper en.

The report is the product. Download a real, redacted penetration-test report and judge how we think, test and write — before you share anything.Rapporten är produkten. Ladda ner en riktig, maskerad penetrationstestrapport och bedöm hur vi tänker, testar och skriver — innan du delar någonting.

Executive summary, for the board and the auditorSammanfattning för ledning och revisor
Severity-rated findings with reproduction stepsAllvarlighetsgraderade fynd med reproduktionssteg
Business impact and concrete remediationAffärspåverkan och konkreta åtgärder
Retest log showing verified fixesOmtestlogg med verifierade åtgärder
{{ reportErr }}
NO SPAM. ONE EMAIL WITH THE PDF, NOTHING ELSE.INGEN SPAM. ETT MEJL MED PDF:EN, INGET MER.
SENT.SKICKAT. Check your inbox — the sample report is on its way toKolla inkorgen — exempelrapporten är på väg till {{ reportEmail }}.
GOLDSECURITY
CONFIDENTIALKONFIDENTIELL
PENETRATION TEST REPORTPENETRATIONSTESTRAPPORT
Web application & API
security assessment
Säkerhetsbedömning av
webbapplikation & API
CLIENT    KUND   
SCOPE     SCOPE  3 applications · 2 APIs3 applikationer · 2 API:er
VERSION   VERSION 2.1 · post-retest2.1 · efter omtest
SPECIALIST 
FINDINGS BY SEVERITYFYND PER ALLVARLIGHETSGRAD
CRITICALKRITISK
2
HIGHHÖG
3
MEDIUMMEDEL
4
LOWLÅG
2
GOLDSECURITY.COMPAGE 01 / 34SIDA 01 / 34
REFERENCE CLIENTSREFERENSKUNDER

Trusted since their early days.Betrodda sedan deras tidiga år.

Truecaller and Trustly came to Gold Security early — and grew into two of Europe's best-known tech companies. Northmill, a licensed Swedish bank, is tested to the same standard.Truecaller och Trustly kom till Gold Security tidigt — och växte till två av Europas mest kända techbolag. Northmill, en licensierad svensk bank, testas mot samma standard.

Truecaller
Trustly
northmill
CALLER ID · STOCKHOLM → GLOBALNUMMERPRESENTATION · STOCKHOLM → VÄRLDEN PAYMENTS · STOCKHOLM → EUROPEBETALNINGAR · STOCKHOLM → EUROPA LICENSED BANK · STOCKHOLMLICENSIERAD BANK · STOCKHOLM
Reference clients, shown with permission.Referenskunder, visas med tillstånd.
COMPLIANCEREGELEFTERLEVNAD

The test your auditors ask for.Testet dina revisorer efterfrågar.

SOC 2, ISO 27001, PCI-DSS, DORA, NIS2 — most frameworks require independent penetration testing. Our reports are written to satisfy the evidence requirement without translation.SOC 2, ISO 27001, PCI-DSS, DORA, NIS2 — de flesta ramverk kräver oberoende penetrationstester. Våra rapporter skrivs för att uppfylla beviskraven utan översättning.

SOC 2 ISO 27001 PCI-DSS DORA NIS2
START AN ENGAGEMENTSTARTA ETT UPPDRAG

Tell us your stack.
We'll tell you where we'd start.
Berätta om din stack.
Vi berättar var vi skulle börja.

A scoping call, not a sales call. NDA available before you share anything sensitive.Ett scopingmöte, inte ett säljsamtal. NDA innan du delar något känsligt.

STEP 01 / 02 — THE ENGAGEMENTSTEG 01 / 02 — UPPDRAGET~30 SECONDS~30 SEKUNDER
{{ grp.label }} {{ grp.hint }}
STEP 02 / 02 — WHERE TO REACH YOUSTEG 02 / 02 — HUR VI NÅR DIG
{{ selectionSummary }}
{{ emailErr }}
A senior specialist — not a salesperson — replies within one business day. NDA available on request.En senior specialist — inte en säljare — svarar inom en arbetsdag. NDA vid behov.
RECEIVEDMOTTAGET
A senior specialist — not a salesperson —
will reply within one business day.
En senior specialist — inte en säljare —
svarar inom en arbetsdag.
{{ selectionSummary }}
{{ doneContact }}
SUBMISSION FAILEDINSKICKNINGEN MISSLYCKADES
Something broke on our side.
Your details never left this page.
Något gick sönder på vår sida.
Dina uppgifter lämnade aldrig sidan.
Try again below — nothing was sent, nothing was lost.Försök igen nedan — inget skickades, inget gick förlorat.
ENCRYPTED CHANNEL ALWAYS OPEN · /.well-known/security.txtKRYPTERAD KANAL ALLTID ÖPPEN · /.well-known/security.txt
PROTOTYPE STATES:
Gold Security GOLDSECURITY
Offensive security by vetted, independent specialists. Stockholm, since 2009.Offensiv säkerhet genom granskade, oberoende specialister. Stockholm, sedan 2009.
CONTACTKONTAKT
Contact usKontakta oss Responsible disclosureAnsvarsfull rapportering Stockholm, SwedenStockholm, Sverige
RESPONSIBLE DISCLOSUREANSVARSFULL RAPPORTERING
# /.well-known/security.txt
Contact: https://goldsecurity.com/contact
Encryption: /pgp-key.txt
Preferred-Languages: en, sv
Policy: /disclosure
© 2026 GoldSecurity.com · Stockholm NO COOKIES · NO TRACKERS · NOTHING TO CONSENT TOINGA KAKOR · INGA SPÅRARE · INGET ATT GODKÄNNA PrivacyIntegritetLegalJuridik/