Ihre Webapplikationen und deren Authentifizierungsverfahren, Rollenkonzepte, Anwendungslogiken und Eingabevalidierungen werden umfangreich geprüft, um potenzielle Schwachstellen auch mittels Reverse Engineering aufzudecken. Die Tests richten sich nach den OWASP-Top10-Risiken sowie dem Application Security Verification Standard (ASVS) und prüfen zusätzlich systematisch alle weiteren Sicherheitsaspekte von Webapps. Neben dem eigentlichen End-User Webinterface können beim Webapp Pentest auch die zugrundeliegenden Komponenten wie Webserver, Content-Management-Systeme (CMS), Anwendungsserver oder zugehörige Datenbanken getestet werden.
Webdienste und APIs (Application Programming Interface) bilden das Grundgerüst vieler Anwendungen. Sie ermöglichen die nahtlose Integration und Kommunikation zwischen verschiedenen Systemen und Diensten. Diese zentrale Rolle birgt auch Risiken, besonders da sie nicht wie Webseiten allgemein über einen Webbrowser ersichtlich sind.
Ein Web Service Penetration Test testet die Authentisierung und Autorisierung und prüft auf Fehlkonfigurationen, übermässige Offenlegung von Daten und unzureichende API-Ratenbegrenzung. Dabei werden manuelle und automatisierte Testmethoden auf der Grundlage des OWASP Application Security Verification Standard (ASVS) eingesetzt, um Schwachstellen im Webdienst oder in der API zu identifizieren.
Sicherheitsanalysen Ihrer Client/Server-Anwendungen sind besonders wichtig, da Angriffe durch Cyber-Kriminelle über bereits kompromittierte interne Systeme «von Innen» vorgenommen werden können. Die Bedeutung solcher Tests für interne Anwendungen wird häufig unterschätzt, was dazu führt, dass erhöhte Risiken eingegangen werden.
Bei Penetration Tests für Applikationen wird neben der Authentifizierung, Autorisierung und Verschlüsselung auch das sicherheitsrelevante Errorhandling von Benutzerinteraktionen, den Datenverkehr und vieles mehr geprüft. Ebenso kommt Reverse Engineering, insbesondere Decompiling, zum Einsatz.
Bei dem Mobile Application Penetration Tests wird die Sicherheit Ihrer iOS- oder Android-App überprüft. Dabei werden automatisierte und manuelle Tests durchgeführt, um potenzielle Schwachstellen, Fehlkonfigurationen und logische Fehler zu identifizieren. Zusätzlich analysieren wir den Datenverkehr, die erreichbaren Backend-Server und die damit verbundenen Risiken von Man-in-the-Middle-Angriffen. Die Tests werden nach anerkannten Standards wie dem OWASP Mobile Application Security Verification Standard (MASVS) und dem Open Source Security Testing Methodology Manual (OSSTMM) durchgeführt, um hochprofessionelle Sicherheitstests zu gewährleisten.
Ein Code Review ist eine zusätzliche Perspektive zu einem Penetration Test, bei dem der Quellcode Ihrer Anwendung tiefergehend analysiert wird, um nach potenziellen Sicherheitslücken, Schwachstellen, sicherheitsrelevanten Fehllogiken, Backdoors und weiterem zu suchen. Durch deren Behebung wird die Sicherheit Ihrer Anwendung massgebend optimiert.
Es werden automatische Tests sowie statische und dynamische Analysen und Abhängigkeitsüberprüfungen ebenso wie manuelle Überprüfungen des Quellcodes durchgeführt. Dies geschieht gemäss den gängigen Standards wie dem OWASP Application Security Verification Standard (ASVS), dem OWASP Code Review Guide und dem Open Source Security Testing Methodology Manual (OSSTMM).
Jede Anwendung kann Schwachstellen haben – wir helfen Ihnen, sie rechtzeitig zu erkennen und zu beheben. Mit unserem Application Testing sichern Sie Ihre Systeme, Daten und Nutzer zuverlässig ab und behalten volle Kontrolle über Ihre IT.
Erreichbarkeit von Montag bis Freitag 08.00 – 18.00 Uhr (Ausnahme: Kunden mit SLA – Bitte über die 24/7 IRR-Notfallnummer anrufen).
Privatpersonen wenden sich bitte an Ihren IT-Dienstleister des Vertrauens oder die lokale Polizeidienststelle.
Weitere Informationen zu unseren DFIR-Services finden Sie hier:
Nichts verpassen! Melden Sie sich für unseren kostenlosen Newsletter an.
