Unternehmen für Penetrationstest

Wir führen Penetrationstest von Webanwendungen durch. Der Umfang und die Komplexität einer Webanwendung können von einer statischen Webseite bis zu einer mandantenfähigen Anwendung reichen. Dies spiegelt sich auch in der Seitenzahl des OWASP Testing Guide wider, der auf mehreren hundert Seiten Testmethoden gegen Webanwendungen zusammenfasst. Wir testen eine Webanwendung sowohl mit als auch ohne Anmeldeinformationen. Um Fehler im Berechtigungsmanagement der Webanwendung effizient aufzudecken, fordern wir Testkonten für jede Benutzerrolle und ggf. für unterschiedliche Mandanten an. Bei dem Penetrationstest einer Web-Anwendung testen wir natürlich auch auf typische Angriffe wie Injection und XSS.

Mehr Informationen über Pentest von Web-Anwendungen

Wir führen Penetrationstest von APIs durch und testen regelmäßig z.B. REST-APIs und XML-APIs. Eine API kann sowohl als eigenständiges Testobjekt in einem Penetrationstest als auch in Kombination mit einem Frontend auf Schwachstellen untersucht werden. Normalerweise fragen wir während des Angebotsprozesses nach einer Art API-Dokumentation oder einer Beschreibung der API-Komplexität, um die erforderliche Zeit für den Penetrationstest einzuschätzen. Wenn eine Webanwendung eine API verwendet, können wir auch die verfügbaren Endpunkte einer API im Rahmen des Penetrationstest ermitteln. Typische API-Sicherheitslücken sind zum Beispiel Fehler bei der Eingabevalidierung oder ein unzureichendes Berechtigungsmanagement.

Mehr Informationen über Pentest von API

Bei einem Penetrationstest von Netzwerke werden im ersten Schritt aktive IT-Systeme und deren Dienste identifiziert. Dann beginnt die eigentliche Arbeit – die Suche nach Schwachstellen im Netzwerk. Die Testschritte bei einem Netzpenetrationstest sind breit gefächert, da eine IT-Infrastruktur aus unterschiedlichen Diensten bestehen kann. Veraltete Software oder Fehlkonfigurationen sind nur zwei von vielen Ursachen für eine Sicherheitslücke in einem Netzwerk.

Mehr Informationen über Pentest von Netzwerken

Wir führen Penetrationstests durch, um die Medizinprodukteverordnung (MDR) einzuhalten. Die MDR fordert die Verifizierung und Validierung der Sicherheit von Medizinprodukten und Software. Die Medical Device Coordination Group stellt in ihrem Leitfaden zur Cybersicherheit für Medizinprodukte fest, dass das primäre Mittel zur Sicherheitsüberprüfung und -validierung Tests sind.

Mehr Informationen über Pentest von Medizingeräten

Wir führen Penetrationstest von Android-Apps durch. Falls die Anwendung nicht über den Google Play Store verfügbar ist oder Sie eine andere Version testen möchten, müssen Sie uns die APK senden. Neben der Installation Ihrer Android-App auf einem normalen Smartphone wird diese auch auf einem gerooteten Android-Handy installiert, um beispielsweise auf den internen Datenspeicher der App zugreifen zu können. Wir versuchen, alle Schutzmechanismen wie eine implementierte Root-Erkennung oder HTTP-Pinning öffentlicher Schlüssel zu umgehen, um die volle Kontrolle über die Kommunikation der Android-App zu erhalten. Sofern nicht anders gewünscht, beziehen wir auch die angebundene API einer App in unseren Penetrationstest mit ein.

Mehr Informationen über Pentest von Android APP

Wir führen Penetrationstest von iOS-Apps durch. Falls die Anwendung nicht über den App-Store verfügbar ist oder Sie eine andere Version testen möchten, müssen Sie uns die IPA senden. Neben der Installation Ihrer iOS-App auf einem normalen iPhone wird diese auch auf einem gejailbreakten iPhone installiert, um beispielsweise auf den internen Datenspeicher der App zugreifen zu können. Wir versuchen, alle Schutzmechanismen wie eine implementierte Jailbreak-Erkennung oder HTTP-Pinning öffentlicher Schlüssel zu umgehen, um die volle Kontrolle über die Kommunikation der iOS-App zu erhalten. Sofern nicht anders gewünscht, beziehen wir auch die angebundene API einer App in unseren Penetrationstest mit ein.

Mehr Informationen über Pentest von iOS App