Web-App-Pentest

Infos + Durchführung gemäß BSI Standards

  • individuelle Methodik
  • BSI Standards
  • zertifizierte Pentester
  • umfassender Report
  • weiterführende Leistungen

Wenn Webanwendungen gehackt werden, kann dies fatale Folgen für deren Anwender und entsprechend auch für die Entwickler haben. Mit einem Web-App-Pentest spüren wir Sicherheitslücken auf, indem wir uns der gleichen Methoden bedienen, die auch Hacker in der freien Wildbahn nutzen, um Web-Apps zu infiltrieren und damit weiter in Systeme vorzustoßen.

Rufen Sie uns kostenfrei an: +49 (0) 800 589 02 49
Schreiben Sie uns eine E-Mail: anfrage@protect-it-solutions.de

JB

Jan Bindig
Geschäftsführer

Zielsetzung eines Web-Application-Pentests

Das Ziel ist klar definiert: Sämtliche Sicherheitslücken, seien sie auch noch so klein, aufdecken. Nur detektierte Risiken können mit dem richtigen Maßnahmenkatalog ausgemerzt werden. Der Rollout oder Patch einer Anwendung wird damit erfolgreich und risikolos umgesetzt.

Der Web-App-Penetrationstest bedient sich gängiger Hackermethoden. Durch gezielte Angriffe auf die App werden Sicherheitslücken zuverlässig aufgedeckt.

Pentest Anbieter IoT-Pentest
Pentest Anbieter IoT-Pentest (2)

Für wen lohnt sich ein Web-App-Pentest?

Unser Pentest-Angebot richtet sich nicht nur an Entwicklerfirmen, sondern ebenso an Anwenderinnen und Anwender von Applikationen. Schließlich sind Apps stets Teil einer gesamten IT-Infrastruktur (siehe: IT-Infrastruktur-Penetrationstest).

  • Web-App-Entwickler
  • Spieleentwickler
  • Anwender von Applikationen
    • Chemie- und Pharmaindustrie
    • Automotive
    • Finanz- und Versicherungsunternehmen
    • Mittelständische Unternehmen - KMUs
    • Gesundheitswesen
    • Behörden und Bildungseinrichtungen

Methodik für Web-App-Pentests

Die Methodik eines Web-App-Pentests richtet sich insbesondere nach der aktuellen Bedrohungslage. Basis ist in diesem Fall die OWASP (Open Web Application Security Project) Methodology für Web-Application Pentesting.

  • Cross-Site Scripting
  • SQL Injection
  • Broken authentication and session management
  • File Upload flaws
  • Caching Servers Attacks
  • Security Misconfigurations
  • Cross-Site Request Forgery
  • Password Cracking
Pentest Anbieter Deutschland (1)
Pentest Anbieter IoT-Pentest (2)

Web-App-Pentesting Tools

Im Bereich Web-Application-Pentesting sind verschiedene Tools wie BurpSuite ein zentraler Bestandteil. Auch Vulnerability Scanner wie Skipfish und Passwort Cracker wie John Ripper kommen zum Einsatz.

  • W3af
  • Burp Suite
  • SQLMap
  • Metasploit
  • Hydra
  • John Ripper
  • Skipfish
  • Ratproxy
  • Wfuzz
  • Watcher

Über 220 Milliarden Euro: Das ist der zuletzt gemessene jährliche durch Cyberattacken entstandene wirtschaftliche Schaden in Deutschland. Etwa 46 % der mittelständischen Unternehmen wurden 2021 Opfer eines solchen Angriffs. Ein Penetrationstest kann Sicherheitslücken, derer sich Kriminelle bedienen, zuverlässig aufdecken und damit finanziellen Schäden und Imageverlust vorbeugen.

Einfache Basis-Checks sind bereits für niedrige vierstellige Beträge möglich. Bei sehr umfangreichen Testverfahren liegen die Kosten zwischen 2.000 und 18.000 Euro - abhängig vom Tagessatz des Pentesters (zwischen 1.000 und 1.800 Euro).

Fünf Tage und mehr sind für einen ausführlichen Penetrationstest einzuplanen. Bei sehr umfangreichen Tests, vor allem im Bereich Social-Engineering, kann sich die Zeitspanne deutlich verlängern.

Um eine Pentester Zertifizierung zu erhalten, muss man fundiertes Fachwissen und Erfahrung vorweisen sowie entsprechende Prüfungen bestehen. Zertifikate werden beispielsweise von der IHK - aber auch von anderen Organisationen - vergeben (Junior Penetration Tester, Senior Penetration Tester).

In der Regel werden Black-Box-Penetrationstests als erstes durchgeführt. Den Ethical Hackern liegen in diesen Szenarien keine Informationen über das Zielobjekt vor. Grey- und White-Box-Pentests sind die nächsten "Ausbaustufen". Hier werden Angriffe simuliert, bei denen sich Hacker schon Zugriff ermöglichen konnten oder gar tiefgreifende Informationen über Quellcodes und ähnliches vorhanden sind.

Die Kosten: individuell. transparent.

Die Kosten für IT-Security-Maßnahmen sind stets abhängig von Art und Umfang - also sehr individuell. Die Range reicht von wenigen hundert Euro für einen schnellen Basis-Check bis hin zu mehreren tausend Euro für einen umfangreichen Penetrationstest. Auch noch höhere Kosten für Folgemaßnahmen wie Red-Teaming, regelmäßige Schulungen oder Sicherheitskonzepte sind möglich. So viel Ehrlichkeit muss sein. Dennoch gilt: Die Investitionen lohnen sich. Denn der finanzielle Schaden, der Unternehmen durch Cyber-Attacken und andersartige Angriffe entsteht, liegt oft um ein Vielfaches höher.

IT-Security ist unser digitales Rückgrat im 21. Jahrhundert. Wir haben die eigene und gesellschaftliche Verantwortung, Risiken und Angriffsvektoren für Cybercrime bestmöglich zu reduzieren. IT-Sicherheit ist nicht nur für Behörden, Forschungs- und Bildungseinrichtungen, sondern auch für den mittelständischen Traditionsbetrieb und Einzelunternehmer eine zentrale Herausforderung, die wir jetzt gemeinsam angehen sollten.

Jan Bindig
Geschäftsführer der Bindig Media GmbH und Vorstand der Kiwiko eG

Kontakt

Kontaktieren Sie uns vollkommen unverbindlich. Wenn Sie uns anrufen, sprechen Sie zuerst mit unseren TelefonistInnen, die Ihnen gerne erste Auskünfte erteilen. Gemeinsam legen Sie dann einen Termin mit unseren Spezialistinnen und Spezialisten fest, um Ihre Wünsche zu konkretisieren. Kosten entstehen Ihnen auch dann noch keine, sondern erst, wenn Sie uns nachweislich und schriftlich einen Auftrag erteilt haben. Transparent und ehrlich eben.

1 Step 1
keyboard_arrow_leftPrevious
Nextkeyboard_arrow_right

Zentrale:

protect-IT-solutions
c/o Bindig Media GmbH
Nonnenstraße 17
04229 Leipzig

Unsere IT-ExpertInnen sind in der gesamten Bundesrepublik Deutschland, in Österreich und in der Schweiz für Sie da.

Gratis Hotline: 0800 589 02 49
E-Mail: anfrage@protect-it-solutions.de

Aktuelles aus unserem Magazin

Erfahren Sie mehr rund ums Thema IT-Sicherheit in Unternehmen, Behörden und Bildungseinrichtungen.

IT-Security in Unternehmen: die Basics

Die Basics in puncto IT- und Datenschutz IT-Security in Unternehmen Im digitalen Zeitalter kann ein sorgloser Umgang mit der eigenen Informationssicherheit, vor allem mit der IT-Sicherheit, für Unternehmen existenzbedrohend sein. Cyberkriminelle warten förmlich darauf, Schwachstellen auszunutzen, um ihre Ziele zu erreichen. Dabei ist IT-Security mehr als die Vergabe starker Passwörter. Stattdessen geht es bei IT-Security …

IT-Security in Unternehmen: die Basics Read More »

Weiterlesen

Social-Engineering: Infos + Prävention

Definition, Beispiele, Methoden & Prophylaxe Social-Engineering Definition: Was ist Social-Engineering? Social-Engineering dient als Oberbegriff für sämtliche Methoden, die in erster Linie auf einer persönlichen, manipulativen Ebene stattfinden und die Schwachstelle Mensch ausnutzen. Hacker haben immer dann Erfolg, wenn sich Zielpersonen hinters Licht führen lassen, beispielsweise weil sie Phishing-Mails (Fake-Mails) nicht erkennen oder einem Anruf auf …

Social-Engineering: Infos + Prävention Read More »

Weiterlesen

Keylogging: Infos + Prävention

Keylogging als Gefahr für Unternehmen Keylogger erkennen – entfernen + Vorbeugung Was ist Keylogging? Beim Keylogging lesen bzw. schneiden Fremde (Unbefugte) Tastatureingaben mit. Damit erbeuten sich Kriminelle teilweise sensible Daten – beispielsweise Passwörter, Gesprächs-/Chat-/E-Mail-Inhalte, Kreditkartendaten und so weiter. Erfahren Sie, wie Sie Keylogger erkennen und sich vor den Gefahren dieser Hackermethode schützen. Inhalt: Erklärung Keylogger …

Keylogging: Infos + Prävention Read More »

Weiterlesen
Scroll to Top