Penetrationstests und Code-Audits

Risikobasierte Pentests gegen Ihre internen und externen Anwendungen und Netzwerke auf Basis von Täterprofilen.

Penetrationstests

Im Rahmen eines Penetrationstests (kurz: Pentests) wird Ihre IT-Infrastruktur (Applikationen, Netzwerke, Clients & Server) auf typische Fehlkonfigurationen und Schwachstellen überprüft. Dabei wird ein ganzheitlicher Ansatz verfolgt, d. h. die Applikation und die potenziellen Schwachstellen bzw. Befunde werden im Kontext Ihrer Organisation bewertet und beurteilt. Für jeden Befund wird eine Risikoeinstufung vorgenommen. Dabei werden verschiedene Arten von Täterprofilen (eng. Threat Actors) als Grundlage verwendet.

Je nach Testumfeld werden gängige Standards als Grundlage für die Testmethodik verwendet, z. B.:

• OWASP Web Security Testing Guide (WSTG) für Webanwendungen
• OWASP Mobile Security Testing Guide (MSTG) für mobile Anwendungen
• MITRE ATT&CK for Enterprise für Active Directory und Netzwerk-Infrastruktur

Testbereiche

Web- und API-Security

• Sicherheitsanalyse von Webanwendungen und REST/SOAP-APIs
• Identifizierung von OWASP Top 10 Schwachstellen
• Autorisierungs- und Authentifizierungsschwachstellen
• Identifizierung von SQL-Injection-Schwachstellen
• Überprüfung von Server-Sicherheitseinstellungen
• Identifizierung von Cross-Site Scripting (XSS)-Schwachstellen

Mobile Security (Android)

• Analyse von Android-Apps auf Sicherheitslücken
• Überprüfung der Datenspeicherung und -übertragung
• Reverse Engineering und Analyse von Schutzmechanismen
• Überprüfung der App-Sandbox und Berechtigungen
• Sicherheit der Backend-Kommunikation

Active Directory & Netzwerk-Infrastruktur

• Schwachstellenanalyse von Active Directory-Konfigurationen
• Prüfung auf Rechteausweitungspfade
• Überprüfung der Gruppenrichtlinien (GPOs)
• Analyse der Vertrauensstellungen zwischen Domänen
• Überprüfung der Sicherheitseinstellungen von Domänencontrollern

Vorgehensweise

Der Pentest wird wie folgt durchgeführt:

1. Vorgespräch

   • Festlegung des Testumfangs und der Zielsysteme
   • Definition der Testmethodik und -tiefe
   • Klärung rechtlicher Rahmenbedingungen

2. Planung

   • Angebotserstellung
   • Abstimmung der Testzeiträume
   • Klärung der Eskalationspfade

3. Durchführung

   • Technische Sicherheitsanalyse
   • Dokumentation aller relevanten Erkenntnisse
   • Bewertung der Auswirkungen

4. Auswertung

   • Risikobewertung aller Befunde
   • Erstellung des Abschlussberichts
   • Präsentation der Ergebnisse

5. Nachbereitung

   • Unterstützung bei der Behebung
   • Verifizierung der umgesetzten Maßnahmen
   • Optional: Sicherheitsschulungen

Nach dem Abschluss des Pentests und der Nachbesserung der Befunde, begleite ich Sie bei der Überprüfung der Änderungen und stelle hiermit sicher, dass tatsächlich die aufgedeckten Schwachstellen behoben wurden. Die kostenlose Nachprüfung von kritischen Befunden ist immer Teil des Penetrationstests.

Code-Audits

Ich biete Code-Audits für Software in verschiedenen Programmiersprachen an. Durch meine Expertise im Bereich Pentesting kann ich gängige Schwachstellen und Angriffspfade gezielt untersuchen und aufdecken. Ich biete unter anderem:

• Webanwendungen: Code-Review basierend auf gängigen Frameworks (Springboot, Laravel, Django) oder Eigenentwicklungen
• Mobile Apps: Sicherheitsanalyse von Android- und iOS-Anwendungen
• Backend-Systeme: Überprüfung von Geschäftslogik und Schnittstellen
• Konfigurationsüberprüfung: Analyse von sicherheitskritischen Konfigurationen

Nehmen Sie gerne Kontakt auf!