Webapplikationen sind heute das Rückgrat vieler Geschäftsprozesse – und deshalb auch ein bevorzugtes Ziel für Angriffe. Beim Pentest einer Applikation überprüfen wir systematisch, wie widerstandsfähig Ihre Anwendung gegen reale Angreifer ist. Häufiger wird hier auch von einer Sicherheitsanalyse gesprochen, da es sich um eine vollständige Analyse eines kleineren Objektes handelt - im Gegensatz zu einem Pentest einer ganzen Infrastruktur.
Typische Angriffsziele sind Zugriffe auf Daten anderer Nutzer, das Umgehen von Berechtigungen oder das Ausbreiten auf interne Systeme. Um hier nichts zu übersehen, orientieren wir uns an etablierten Standards wie den von OWASP.
Prüfung auf OWASP Top 10 Schwachstellen bei einer Webapplikation
Test von Authentifizierung, Autorisierung und Datenvalidierung
Analyse von App-Logik, Datenspeicherung und Backend-Kommunikation
Unternehmen mit SaaS-Anwendungen oder vielen Kundenzugriffen
Firmen, die eine neue Anwendung vor dem Produktivgang absichern wollen
Organisationen mit Compliance-Anforderungen (z. B. DSGVO, ISO 27001)
Standardmäßig führen wir einen Grey-Box-Test durch. Das bedeutet: Zugangsdaten werden zur Verfügung gestellt, der Quellcode jedoch nicht. So entsteht ein praxisnahes Angriffsszenario.
Besonders sinnvoll, bevor die App produktiv geht.
Prüft gezielt Web-, Mobile- oder API-Applikationen.
Scope klar begrenzt und damit ein guter erster Test der eigenen Systeme