Security Testing

Penetrationstests

Wir untersuchen Ihre Webanwendungen, Mobilen Apps und Webserver mit dem Mittel des Penetrations­tests auf Schwach­stellen. Unsere Ergebnisberichte geben dem Fachverantwortlichen eine Entscheidungsgrundlage und den Entwicklern konkrete Handlungsanweisungen.

icon ads click

Umfassend

Die Untersuchung deckt alle 5 Ebenen im Klassifizierungsschema zur Organisation von Sicherheit in Webanwendungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ab und folgt den Empfehlungen des Open Worldwide Application Security Projects (OWASP).

icon add moderator

Zuverlässig

Der in unserem Wissenspool hinterlegte Erfahrungsschatz und die hohe Expertise unserer Tester sorgen für höchste Zuverlässigkeit bei der Schwachstellensuche.

icon build

Effizient

Dank unserer Erfahrung und durch den Einsatz leistungsfähiger Werkzeuge erreichen wir eine hohe Effizienz – und können entsprechend günstig anbieten.

Sofern Ihre Anwendung eine maximale Größe nicht überschreitet, bieten wir den hier beschriebenen umfassenden Application Security Penetrationstest aktuell zu einem attraktiven Fixpreis an.

  • illustration of tiger

    Testvorgehen

    Die Untersuchung erfolgt generell auf alle zum aktuellen Zeitpunkt bekannten Schwachstellen und Angriffstechniken. Es werden, soweit keine Ausschlusskriterien gegeben sind, alle vom jeweiligen Einstiegs-Link aus erreichbaren und zum selben Hostnamen gehörigen Pfade, Formulare und Seiten untersucht, soweit sie dem genannten Testgegenstand zuzurechnen sind.

    Die Anwendung wird sowohl ausgiebigen manuellen Tests, als auch automatischen Tests unterzogen. Zum Einsatz koemmn verschiedene frei verfügbare Tools. Die Tests mit den Tools beschränken wir auf die Bereiche, in denen die Stärken der Tools liegen. Die manuellen Tests erstrecken sich auf alle untersuchten Bereiche und erfassen insbesondere auch die Business-Logik der Anwendung.

  • Umfang

    Die Analyse beinhaltet folgende Ebenen:

    Implementierung: Identifikation von Programmierfehlern und Schwachstellen im Anwendungscode, insbesondere bei der Datenvalidierung.

    Technologie: Beurteilung der Auswahl und des Einsatzes sicherheitsrelevanter Technologien, z. B. bei Verschlüsselung oder Datenübertragung.

    Logik: Analyse der Anwendungs- und Business-Logik auf mögliche Missbrauchs- und Angriffsvektoren, etwa durch unvorhergesehene Benutzerinteraktionen.

    Semantik: Überprüfung der Benutzerkommunikation und Präsentation von Inhalten auf Täuschungs- oder Missbrauchspotenziale, z. B. in Bezug auf Phishing oder Social Engineering.

  • checklist icon

    Standards

    Wir legen international anerkannte Standards zugrunde:

    - OWASP ASVS (Application Security Verification Standard)
    - OWASP Testing Guide
    - OWASP Top 10
    - OWASP Development Guide
    - Web Application Security Consortium (WASC) Threat Classification
    - PCI Data Security Standard (PCI-DSS)
    - BSI-Vorgaben „Durchführungskonzept für Penetrationstests“ und „Maßnahmenkatalog und Best Practices zur Sicherheit von Webanwendungen“

  • target icon

    Ergebnisse

    Als Ergebnis erhalten Sie einen umfassenden Report, der die Testfälle und gefundenen Probleme leicht nachvollziehbar darstellt und Auskunft über das Gefährdungs- und Bedrohungspotential liefert. Darüber hinaus geben wir detaillierte Hinweise zu deren Behebung.

    Im Anschluss steht der Tester für Rückfragen oder weitere Unterstützung zur Verfügung. Da wir unsere Berichte mit einem mächtigen Tool erstellen, können Sie die Berichte in vielen Formaten erhalten, neben PDF z.B. im Excel-Format.

DOWNLOAD

Die große Application Security Pentest FAQ für Auftraggeber

Ihr Ansprechpartner

Thomas Schönrich

Mehr Infos

KARRIERE

Du bist Experte in diesem Thema?

Dann könnte unser tolles Team vielleicht zur neuen Heimat für dich werden.

Du bist noch Einsteiger?
Dann schau auch hier:

Weiter

OWASP ASVS Assessment