Das bieten wir an
Klarer Fokus, größtes Know-How und eine partnerschaftliche Zusammenarbeit mit Handschlagqualität.
Pentests von Web-Applikationen
Eure Webanwendung verarbeitet sensible Daten oder ist unternehmenskritisch? Wir testen Authentifizierung, Autorisierung und klassische Web-Schwachstellen wie fehlerhafte Eingabeprüfungen. Egal ob Eigenentwicklung, Standard-CMS oder REST-Schnittstelle: Wir stellen eure Webanwendung auf den Prüfstand!
Zum Musterbericht WebanwendungSzenario
Die öffentliche Erreichbarkeit, die Anonymität und die niedrige Hemmschwelle machen es für Angreifer besonders attraktiv, Webanwendungen anzugreifen. Beim Pentest spiegeln wir das Szenario eines Angreifers wider, der Zugriff auf ein Benutzerkonto besitzt und die Anwendung mit unterschiedlichen Berechtigungen nutzen kann.
Vorbereitung
Wir benötigen Testzugänge mit verschiedenen Rollen und, je nach Komplexität, eine Einführung in Aufbau und Funktionsweise der Anwendung. Für zuverlässige Tests nehmt ihr uns am besten von Schutzsystemen wie Web Application Firewalls aus. Auf Wunsch sehen wir uns auch den Quellcode an.
Checklist
Zuerst verschaffen wir uns einen Überblick über die Angriffsfläche und sichtbare Funktionen der Anwendung. Danach prüfen wir Login und Anmeldeprozesse, euer Berechtigungsmodell und ob Benutzerrollen nur das sehen und tun dürfen, was vorgesehen ist. Eingaben, Datei-Uploads, Schnittstellen und die Geschäftslogik der Anwendung testen wir genauso wie die Sitzungsverwaltung. Auch die Konfiguration des Webservers und Anbindungen an andere Systeme sehen wir uns an.
Umfang
Für kleinere Webanwendungen rechnen wir mit einem Aufwand von 3-5 Personentagen. Wenn es komplexer wird, sind es eher 8-10. Ein Personentag kostet 1.600 €.
So gehen wir vor
Wir erheben eure Anforderungen
In einem Scoping-Gespräch definieren wir gemeinsam Umfang und Rahmenbedingungen des Pentests. Wir legen fest, was getestet wird und was ausdrücklich nicht zum Scope gehört.
Wir erstellen euch ein Angebot
Auf Basis eurer Anforderungen erstellen wir ein passgenaues Angebot. Ihr erhaltet es zeitnah und nachvollziehbar aufgeschlüsselt.
Wir klären alle Voraussetzungen
Nach der Beauftragung bereiten wir den Pentest im Kickoff vor. Zugänge, Testbenutzer, Zeitfenster und Kommunikationswege klären wir gemeinsam.
Wir machen den besten Pentest für euch
Wir testen innerhalb des vereinbarten Scopes und Zeitrahmens. Während der Durchführung bleiben wir mit euch im Austausch und melden kritische Findings über die vereinbarten Kanäle. Nach Abschluss erhaltet ihr den Bericht als gesichertes PDF.
Wir besprechen die Ergebnisse
Pentest-Berichte sind oft umfangreich. Wir stehen euch nach der Lieferung als Ansprechpartner zur Verfügung und gehen die Ergebnisse und Prioritäten gerne mit euch durch.
Wir testen kostenlos nach
Damit ihr aus dem Bericht auch handelt, testen wir behobene Schwachstellen einmalig kostenlos nach, wenn die Behebung innerhalb von acht Wochen nach Berichtsübermittlung erfolgt.
Bereit mit uns zu arbeiten?
Wir gehen für euch in die Offensive und decken Schwachstellen eurer Anwendungen und Infrastrukturen auf, um Angriffe erst gar nicht zu ermöglichen.