Analyse von Webapplikationen oder SOAP und REST API-Schnittstellen auf Schwachstellen und Konfigurationsfehler. Wir prüfen diese unter anderem auf die gängigen OWASP Schwachstellen, wie:
- Injections (SQL, OS Command Injection etc.)
- Fehler in der Authentifizierung (Session-Management, Authentication-Process)
- Verlust der Vertraulichkeit sensibler Daten
- XML External Entities (XXE)
- Fehler in der Zugriffskontrolle
- Sicherheitsrelevante Fehlkonfigurationen
- Cross-Site Scripting (Reflected, Stored, DOM-based)
- Unsichere Deserialisierung
- Nutzung von Komponenten mit bekannten Schwachstellen (Libraries, Frameworks etc.)
- Unzureichendes Logging & Monitoring
Beispiel Szenario 1
Wir führen einen Penetrationstest Ihrer Webapplikation durch und prüfen als nicht-authentifizierter Benutzer den Einhalt von Security Best-Practices für Webapplikation und die Verwundbarkeit der exponierten Endpunkte auf Injection-Angriffe, mit dem Ziel, interne Informationen aus dem Datenbank-Backend oder dem zugrundeliegenden Betriebssystem zu erlangen.
Beispiel Szenario 2
Wir führen einen Penetrationstest Ihrer mandantenfähigen Webapplikation durch, mit dem Ziel, Daten von fremden Mandanten zu lesen oder zu manipulieren.