Reconix LogoReconix
Back to Blog

ราคา Pentest ในไทย: ปัจจัยที่กำหนดราคาและงบที่ควรตั้ง (2026)

Reconix Team
Penetration TestingPricing GuideThailand Cybersecurity

ถ้าคุณกำลังตั้งงบประมาณสำหรับ Penetration Testing ในไทย คงสังเกตว่าผู้ให้บริการส่วนใหญ่ไม่เปิดเผยราคา พอจะวางแผน เปรียบเทียบงบให้ผู้บริหารอนุมัติก็ยากไปอีก

คู่มือนี้รวมข้อมูลราคา Penetration Testing ในไทยแบบโปร่งใส ให้ใช้อ้างอิงได้จริง ทั้งปัจจัยที่มีผลต่อราคา และวิธีดูให้ออกว่าคุณจ่ายเงินเพื่อความปลอดภัยจริง หรือแค่ได้ผลสแกนใส่ปกสวย

ทำไมราคา Pentest ถึงบอกตัวเลขแน่นอนได้ยาก

Penetration Testing ไม่ใช่สินค้าสำเร็จรูปที่ตั้งราคาตายตัวได้ งาน 2 โปรเจกต์ที่ scope เป็น "web application pentest" เหมือนกัน ราคาอาจต่างกันถึง 5 เท่า ขึ้นอยู่กับ:

  • ความซับซ้อนของแอป: เว็บไซต์ brochure site ธรรมดา กับแพลตฟอร์ม SaaS แบบ multi-tenant ที่มี API endpoints 200+ คนละเรื่องกันเลย
  • ความลึกของ Authentication: แค่สแกนโดยไม่ login กับทดสอบหลาย role (admin, user, manager) พร้อม Business Logic Abuse ต่างกันมาก
  • ข้อกำหนด compliance: ทดสอบทั่วไป กับทดสอบที่ต้องออกรายงานตามมาตรฐาน ธปท., PCI DSS หรือ กลต. ใช้เวลาต่างกัน
  • Retest และ Remediation Support: บางบริษัทรวม Verification Retest ในราคา บางบริษัทคิดแยก

ตอบตรงๆ คือ Penetration Testing ในไทยราคาอยู่ในช่วง ฿150,000 ถึง ฿2,000,000+ ขึ้นอยู่กับ scope, ความลึก และข้อกำหนด compliance มาดูรายละเอียดกัน

ช่วงราคา Penetration Testing แยกตามประเภทบริการ

ราคาด้านล่างเป็นราคาตลาดไทยปี 2569 สำหรับ Penetration Testing ที่ทดสอบโดยผู้เชี่ยวชาญจริง (ไม่ใช่แค่รันเครื่องมือสแกน)

หมายเหตุ: ราคาทั้งหมดเป็นตัวเลขประมาณการเบื้องต้น ราคาจริงขึ้นอยู่กับขอบเขตงาน ความซับซ้อนของแอป จำนวนระบบหรือ endpoint ข้อกำหนด compliance และกรอบเวลา ติดต่อเรา เพื่อคุย scope และขอใบเสนอราคาที่ตรงกับงานของคุณ

Web Application Penetration Testing

ขอบเขต ช่วงราคา (THB) ระยะเวลา
แอปขนาดเล็ก (< 20 หน้า, auth จำกัด) ฿150,000 – ฿300,000 5–8 วัน
แอปขนาดกลาง (20–50 endpoints, 2–3 roles) ฿300,000 – ฿600,000 8–15 วัน
แอปขนาดใหญ่ (50+ endpoints, logic ซับซ้อน, APIs) ฿600,000 – ฿1,200,000 15–25 วัน

ควรได้อะไรในราคานี้: OWASP Top 10, Business Logic Testing, Authentication/Authorization Abuse, API Endpoint Testing และรายงานที่บอกวิธีแก้ไขได้จริง ไม่ใช่แค่ dump output จากเครื่องมือ

Mobile Application Penetration Testing

ขอบเขต ช่วงราคา (THB) ระยะเวลา
แพลตฟอร์มเดียว (iOS หรือ Android) ฿200,000 – ฿400,000 8–12 วัน
ทั้งสองแพลตฟอร์ม (iOS + Android) ฿350,000 – ฿700,000 12–20 วัน
Banking/Fintech (รวม API backend + compliance) ฿500,000 – ฿1,200,000 15–25 วัน

ทำไมราคาถึงขยับ: แอป Mobile Banking ที่ต้องเป็นไปตามประกาศ ธปท. 4/2568 จะต้องทดสอบเชิงลึกทั้ง Biometrics, Session Management, Certificate Pinning และ Anti-Fraud Controls ทำให้ scope กว้างขึ้นมาก

Network Penetration Testing

ขอบเขต ช่วงราคา (THB) ระยะเวลา
External เท่านั้น (IP ranges, public services) ฿150,000 – ฿300,000 5–8 วัน
Internal เท่านั้น (on-site หรือ VPN, AD assessment) ฿250,000 – ฿500,000 8–15 วัน
External + Internal รวม ฿350,000 – ฿700,000 12–20 วัน

ดูอะไรเป็นหลัก: Internal Network Test ที่ดีต้องครอบคลุม Active Directory Attack Path Analysis, Kerberoasting, NTLM Relay และ Lateral Movement Simulation ไม่ใช่แค่รัน Nessus แล้วเอามาทำกราฟสวยๆ

Cloud Penetration Testing

ขอบเขต ช่วงราคา (THB) ระยะเวลา
Cloud เดียว (AWS, Azure หรือ GCP) ฿250,000 – ฿500,000 8–12 วัน
Multi-cloud หรือ Hybrid Environment ฿500,000 – ฿1,000,000 15–25 วัน

ทำไมราคาถึงขยับ: Cloud Test ต้องครอบคลุม IAM Misconfiguration, Storage Exposure (S3 Buckets, Blob Containers), Container/Kubernetes Escape Path และ Serverless Function Abuse งานแบบนี้ต้องใช้ผู้เชี่ยวชาญที่มีประสบการณ์ Cloud โดยเฉพาะ ไม่ใช่แค่ Network Tester ทั่วไป

Smart Contract Audit

ขอบเขต ช่วงราคา (THB) ระยะเวลา
Contract เดียว (< 500 SLOC) ฿200,000 – ฿400,000 5–10 วัน
Protocol Audit (หลาย contracts, DeFi) ฿500,000 – ฿1,500,000 15–30 วัน
Full Platform (exchange + contracts + API) ฿1,000,000 – ฿3,000,000 30–60 วัน

หมายเหตุ กลต.: ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลที่อยู่ภายใต้ กลต. ต้องผ่าน Security Assessment รวมถึง Smart Contract Audit ก่อนจะได้ใบอนุญาต

Red Teaming / Adversary Simulation

ขอบเขต ช่วงราคา (THB) ระยะเวลา
Targeted (วัตถุประสงค์เฉพาะ, scope จำกัด) ฿500,000 – ฿1,000,000 2–4 สัปดาห์
Full-scope (คน + กระบวนการ + เทคโนโลยี) ฿1,000,000 – ฿3,000,000 4–8 สัปดาห์
BOT iPentest (intelligence-led, ธนาคาร D-SIB) ฿1,500,000 – ฿5,000,000+ 6–12 สัปดาห์

iPentest ต่างจาก Pentest ทั่วไปอย่างไร: กรอบ iPentest ของ ธปท. ต้องรวบรวม Threat Intelligence, จัด Red Team vs. Blue Team Exercise และออกรายงานระดับ Board ถือว่าต่างจาก Pentest ทั่วไปโดยพื้นฐาน ราคาก็สะท้อนความซับซ้อนตรงนี้

อะไรทำให้ราคาสูงขึ้น (หรือต่ำลง)

ปัจจัยที่ทำให้ราคาสูงขึ้น

  1. รายงานตาม compliance เฉพาะ: ธปท., PCI DSS, ISO 27001 แต่ละมาตรฐานมีรูปแบบหลักฐาน, Control Mapping และ Remediation Verification ที่ต่างกัน ต้องใช้เวลาจัดทำเพิ่ม
  2. จำนวน role/สภาพแวดล้อม: ทดสอบ 5 user roles ทั้ง staging และ production กินเวลามากกว่าทดสอบ role เดียวใน staging ราว 3 เท่า
  3. เข้าถึง source code (Gray-box/White-box): ช่วยให้ผลการทดสอบดีขึ้น แต่การ review code ควบคู่กับ runtime testing ต้องใช้ทักษะเพิ่ม
  4. ต้องทดสอบ on-site: Internal Network Test หรือระบบ air-gapped ต้องไปทดสอบหน้างาน มีค่า logistics เพิ่ม
  5. กรอบเวลาเร่งด่วน: deadline compliance หรือ go-live ที่จี้เข้ามา ต้องบีบตารางทดสอบและดึงทีมใหญ่ขึ้นมาช่วย

ปัจจัยที่ช่วยลดราคา

  1. scope ที่ชัดเจน: เตรียมรายการ asset และเอกสาร API ให้ครบ ช่วยลดเวลา discovery ได้มาก
  2. สัญญาแบบ retainer รายปี: รวมหลาย engagement (VA รายไตรมาส + Pentest รายปี) มักได้ส่วนลด 10–20%
  3. เริ่มทดสอบเป็นขั้นตอน: รัน Vulnerability Assessment ก่อนเพื่อจัดการปัญหาที่ชัดเจน แล้วค่อยลงทุนกับ Deep Pentest ทีหลัง
  4. Retest รวมอยู่ใน engagement แรก: รวม Verification Retest 1 รอบในราคาเดิมคุ้มกว่า scope แยกทีหลัง

วิธีประเมิน Proposal ของผู้ให้บริการ Pentest

Proposal แต่ละใบไม่เหมือนกัน ก่อนเซ็นสัญญา ลองเช็คจุดเหล่านี้ก่อน

สัญญาณเตือน (Red Flags)

  • ราคาต่ำกว่า ฿100,000 สำหรับงานที่เกินกว่าสแกนธรรมดา มีโอกาสสูงที่คุณจะได้แค่ output จากเครื่องมืออัตโนมัติ ไม่ใช่การทดสอบโดยคน
  • ระยะเวลาคงที่ไม่ว่า scope จะเป็นอะไร "5 วันสำหรับ web app ทุกแบบ" แปลว่าไม่ได้ scope งานจริง
  • ไม่ระบุ methodology ถ้า proposal ไม่อ้างอิง OWASP, PTES หรือ OSSTMM สงสัยไว้ก่อนว่าอาจไม่ได้ทดสอบอย่างเป็นระบบ

สัญญาณที่ดี (Green Flags)

  • scope ชัดเจน: ระบุ endpoint, role, สภาพแวดล้อม และข้อยกเว้นครบถ้วน
  • ระบุ methodology: PTES, OWASP WSTG/MASTG หรือเทียบเท่า พร้อมอธิบาย testing phase ชัดเจน
  • Remediation Support: ไม่ใช่แค่ส่งรายงานจบ แต่ให้คำปรึกษา developer และแนะนำวิธีแก้ที่ใช้งานได้จริง
  • Compliance Mapping: ถ้าต้องรายงานตาม ธปท./PDPA/PCI ต้อง map findings เข้ากับข้อกำหนดให้ชัด
  • ข้อมูลทีมทดสอบ: certification เช่น OSCP, OSWE, eWPT หรือ eMAPT บ่งบอกว่าทีมทดสอบได้จริง ไม่ใช่แค่รู้ทฤษฎี

Compliance-Driven Testing: ควรตั้งงบเท่าไหร่

หลายองค์กรในไทยต้องทำ Penetration Testing ไม่ใช่เพราะอยากทำ แต่เพราะกฎหมายบังคับ แต่ละกรอบกำกับดูแลมีข้อกำหนดต่างกัน:

กฎระเบียบ ข้อกำหนดการทดสอบ ผลต่องบประมาณโดยประมาณ
ธปท. Pentest ประจำปี + iPentest สำหรับ D-SIB ฿500K – ฿5M+ ขึ้นอยู่กับขนาดสถาบัน
PDPA (มาตรา 37) "มาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม" — Pentest ช่วยพิสูจน์ได้ ฿150K – ฿600K สำหรับระบบที่ประมวลผลข้อมูล
กลต. Security Assessment ก่อนได้ใบอนุญาต + Smart Contract Audit ฿500K – ฿3M สำหรับผู้ประกอบธุรกิจสินทรัพย์ดิจิทัล
คปภ. IT Risk Management รวมการทดสอบความปลอดภัย ฿300K – ฿1M สำหรับบริษัทประกัน
PCI DSS (Req. 11.4) Pentest ประจำปี + ASV scan รายไตรมาส ฿300K – ฿800K สำหรับสภาพแวดล้อมที่จัดการข้อมูลบัตร
ISO 27001 (A.8.8) การประเมิน Technical Vulnerability Management ฿150K – ฿500K ต่อรอบ

วิธีใช้งบให้คุ้มค่าที่สุด

  1. อย่าเลือกแค่ถูกที่สุด สแกน ฿100K ที่พลาดช่องโหว่สำคัญ สุดท้ายแพงกว่าทดสอบ ฿400K ที่เจอปัญหาก่อนโจร ค่าเสียหายเฉลี่ยจาก Data Breach ทั่วโลกอยู่ที่ $4.88M (IBM 2024)

  2. ลงทุนกับ Remediation ไม่ใช่แค่รายงาน รายงานที่เก็บไว้ในลิ้นชักไม่ได้ช่วยปกป้องอะไร ดูให้แน่ใจว่าผู้ให้บริการมี Developer Consultation และ Verification Retest ด้วย

  3. รวมแพ็คเกจและวางแผนล่วงหน้า โปรแกรมรายปีที่รวม Vulnerability Assessment, Penetration Testing และ Compliance Review คุ้มกว่าจ้างแบบ ad-hoc ทุกครั้ง

  4. เลือกความลึกตามความเสี่ยง ไม่ใช่ทุกระบบต้องทำ Red Team เต็มรูปแบบ ใช้ Vulnerability Assessment สำหรับ asset ที่เสี่ยงต่ำ แล้วเก็บ Deep Pentest ไว้สำหรับระบบที่จัดการข้อมูลสำคัญหรือธุรกรรมการเงิน

  5. ถามเรื่องทีม ไม่ใช่แค่ชื่อบริษัท คุณภาพของ Pentest ขึ้นอยู่กับคนที่ลงมือทดสอบจริง ถามว่าใครจะเป็นคนทดสอบ มี certification อะไร และตอบคำถาม remediation ได้ไหม

สรุป: ตารางราคาอ้างอิงฉบับย่อ

บริการ ช่วงราคา (THB) เหมาะกับ
Web App Pentest ฿150K – ฿1.2M SaaS, e-commerce, banking portals
Mobile App Pentest ฿200K – ฿1.2M แอปธนาคาร, fintech, consumer apps
Network Pentest ฿150K – ฿700K โครงสร้างพื้นฐานองค์กร, data centers
Cloud Pentest ฿250K – ฿1M สภาพแวดล้อม AWS/Azure/GCP
Smart Contract Audit ฿200K – ฿3M DeFi protocols, digital asset platforms
Red Team / iPentest ฿500K – ฿5M+ ธนาคาร, โครงสร้างพื้นฐานสำคัญ
Vulnerability Assessment ฿80K – ฿250K Baseline security, compliance ประจำปี

ราคาในคู่มือนี้อ้างอิงตลาดไทยปี 2569 ราคาจริงจะต่างกันตามขอบเขต ความซับซ้อน และผู้ให้บริการ อยากได้ใบเสนอราคาที่ตรงกับระบบและข้อกำหนด compliance ของคุณ ติดต่อ Reconix เพื่อคุย scope ได้เลย

แหล่งอ้างอิงกฎระเบียบและมาตรฐาน

บริการที่เกี่ยวข้องจาก Reconix

  • Penetration Testing — บริการทดสอบเจาะระบบแบบครบวงจร ครอบคลุม Web, Mobile, Network และ Cloud
  • Web Application Penetration Testing — ทดสอบเว็บแอปพลิเคชันและ API ตามมาตรฐาน OWASP
  • Mobile Application Penetration Testing — ประเมินความปลอดภัยแอปมือถือ iOS และ Android
  • Network Penetration Testing — ทดสอบเครือข่ายภายในและภายนอก รวมถึง Active Directory
  • Cloud Penetration Testing — ประเมินความปลอดภัยระบบคลาวด์ AWS, Azure และ GCP
  • Vulnerability Assessment — สแกนช่องโหว่อัตโนมัติพร้อมการตรวจสอบด้วยผู้เชี่ยวชาญ
Articles

More Posts

Explore more articles from our blog

Featured image for [Writeup] Thailand Cyber Top Talent 2025: Bangkok Casino (Mobile 300 Pts) - Android Application Manual Static Analysis Solution

[Writeup] Thailand Cyber Top Talent 2025: Bangkok Casino (Mobile 300 Pts) - Android Application Manual Static Analysis Solution

September 2, 2025Reconix Team (Sorawish Laovakul)

A step-by-step CTF writeup for the THCTT2025 Bangkok Casino challenge. Learn to reverse engineer an Android APK and its multi-layer encryption on `metrics.bin`. This guide covers static analysis with JADX and Ghidra, AES decryption, native `.so` library analysis, and provides the final Python script to capture the flag.

Read More
Featured image for Inspex Joins Reconix: A New Era of Cybersecurity Excellence

Inspex Joins Reconix: A New Era of Cybersecurity Excellence

August 1, 2024Reconix Team

Inspex, Thailand's leading Web3 and blockchain security firm, has officially merged with Reconix to create a cybersecurity powerhouse. Operating under the Reconix brand, we now offer end-to-end security solutions covering traditional IT infrastructure, Web3 applications, and blockchain ecosystems. Our enhanced smart contract audit capabilities, combined with award-winning penetration testing services, position us as Thailand's premier cybersecurity provider.

Read More
View All