whitelisthackers whitelisthackers

Sind Ihre Anwendungen nicht ausreichend geschützt, drohen sie zum Ziel potenzieller Hackerangriffe zu werden. Mithilfe unserer Web- oder Mobile-App-Penetrationstests helfen wir Ihnen wir Sie, Ihre Anwendungen bestmöglich gegen Cyberangriffe, Datendiebstahl und Reputationsverlust zu sichern.

Sicherheitslücken und Fehlkonfigurationen gefährden nicht nur sensiblen Kundendaten, sondern auch interne Organisationsnetzwerke. Wir „simulieren“ eine realistische Attacke eines typischen Cyberkriminellen und überprüfen die Resistenz Ihrer Anwendungen sowie die vorhandenen Sicherheitsmaßnahmen, ermitteln konkrete Risiken und identifizieren Schwachstellen.

Ihr Mehrwert

Durch unsere Web- und Mobile-App-Penetrationstests stärken Sie nachhaltig die Cybersecurity Ihrer Anwendungen, minimieren das Risiko von Datenverlusten und erhöhen das Vertrauen Ihrer Kunden.
Darüber hinaus unterstützen unsere Prüfungen Sie dabei, gesetzliche und regulatorische Anforderungen zu erfüllen sowie die Integrität Ihres Markenauftritts und Ihrer Unternehmensreputation zu wahren.

Vorgehensweise

  1. Vorbereitung

    Zu Beginn besprechen wir wesentliche Kriterien wie Typ und Ziel des Audits, sowie organisatorische Maßnahmen mit Ihnen: Um welche Anwendungen geht es? Wie sollen diese betrachtet werden? Wer ist unsere Ansprechperson? Agieren wir als anonym Angreifende oder registrierte User? Diese und weitere Fragen entscheiden über das grundsätzliche Vorgehen, Black- oder Whiteboxtest bzw. Source Code Audit, die Aggressivität der Methoden oder deren Detektierbarkeit.
    Ziel ist, die Grundlagen eines erfolgreichen Audits zu schaffen.

  2. Informationsbeschaffung

    In dieser Phase sammeln wir relevante Daten, um verwertbare Erkenntnisse zu gewinnen. Während dieser Phase erkunden wir Ihre Anwendung mit nicht invasiven Methoden. Um den Angriff vorzubereiten, analysieren unsere Analyst:innen die Anwendung aus Angreiferperspektive, identifizieren potenzielle Angriffsflächen und definieren geeignete Angriffsvektoren.
    Anschließend beginnen wir mit dem Scannen, um wichtige Eckdaten Ihrer Anwendung wie beispielsweise die Backend-Infrastruktur, eingesetzte Frameworks, Plug-ins und deren Versionsnummern sowie etwaige Konfigurationsmängel zu erfassen.

  3. Analyse

    Aufbauend auf den so gewonnenen Informationen setzen wir eine Vielzahl an Testschritten und Tools ein, um ihre Web- oder Mobile-App eingehender zu überprüfen. Dabei werden die zuvor automatisiert ermittelten Informationen und Schwachstellen durch manuelle Tests verifiziert und ausgenutzt. Bei der Überprüfung Ihrer Systeme und Anwendungen analysieren wir verschiedene sicherheitskritische Aspekte, um potenzielle Schwachstellen und Risiken aufzudecken.

    Die Sicherheitsprüfung von Web- und Mobile-Anwendungen richtet sich nach den eingesetzten Technologien und Architekturen (z. B. REST, SOAP, JSON) sowie den funktionalen Komponenten der Anwendung.
    Typische Prüfaktivitäten umfassen:

    • Identifikation sicherheitsrelevanter Funktionen und Komponenten innerhalb der Anwendung
    • Bedrohungsmodellierung zur Erkennung potenzieller Angriffsvektoren, etwa unbefugter Zugriff, Rechteausweitung oder Datenmanipulation
    • Analyse spezifischer Schwachstellen wie unsicheres Session-Management oder Cross-Site Scripting (XSS)
    • Prüfung der Anwendungslogik auf potenzielle Missbrauchsmöglichkeiten
    • Sicherheitsbewertung der eingesetzten Webschnittstellen (z. B. REST-/SOAP-APIs)
    • Untersuchung der Web- und Backend-Infrastruktur auf Schwachstellen wie Pufferüberläufe, SQL- oder XML-/XPath-Injection sowie fehlerhafte (De-)Serialisierung

    Für die Sicherheitsanalyse kommen sowohl Tools als auch manuelle Testverfahren zum Einsatz.

    U. a. beziehen wir in unsere Prüfhandlungen auch die aktuelle OWASP Top 10 ein, welche die zehn häufigsten Sicherheitsrisiken in Anwendungen auflistet.

  4. Reporting

    Sie erhalten eine ausführliche Dokumentation inklusive Management Summary, in der alle Ergebnisse verständlich und strukturiert aufbereitet sind.
    Jede identifizierte Schwachstelle wird im Detail beschrieben, nach ihrem Gefährdungspotenzial klassifiziert (z. B. gemäß CVSS) und mit konkreten Handlungsempfehlungen zur Behebung ergänzt. Das Reporting unterstützt IT- und Entwicklungsteams dabei, die Angriffsszenarien nachzuvollziehen und gezielte Sicherheitsmaßnahmen umzusetzen.

  5. Cleaning

    Nach Abschluss des Auftrags entfernen unsere Analyst:innen alle Code Snippets, Skripte, Tools und Testdaten, die bei dem „Angriff“ eingesetzt wurden, sodass sie später bei einem realen Angriff von Dritten nicht mehr verwendet werden können. Sollte das eigenständige Aufräumen nicht möglich sein, informieren wir Sie anhand einer genauen Anleitung, wie Sie verbliebene Artefakte selbst entfernen können.

Was sollten Sie sonst noch wissen?

Ablauf und Klassifikation

Die Sicherheitsüberprüfung wird im Wesentlichen nach der Empfehlung bzw. Studie „Durchführungskonzept für Penetrationstests“, herausgegeben vom BSI, durchgeführt. Des Weiteren führen wir die Tests gemäß diverser Standards und Frameworks wie des Penetration Testing Execution-Standards (PTES), der Open Source Security Testing Methodology (OSSTMM), MITRE ATT&CK und des Open Web Application Security Projects durch. Zusätzlich werden Schwachstellenrankings wie OWASP TOP 10, SANS 25 und Schwachstellendatenbanken (CVE – Common Vulnerabilities and Exposure) berücksichtigt.

Unsere Standards gewährleisten eine strukturierte Vorgehensweise, die eine effiziente und zielgerichtete Durchführung der Tests erleichtert bzw. sicherstellt. Dabei nutzen wir eine eigens entwickelte verteilte Testplattform. Diese ermöglicht beispielsweise eine zentrale Datenhaltung bei Penetrationstests in komplexen Netzwerkumgebungen sowie die parallele Testdurchführung zur Effizienzsteigerung.

Blackbox Testing

Wir erhalten keine Vorkenntnisse über Ihr System und simulieren einen echten Hackerangriff einschließlich der Informationssammlung.

Greybox Testing

Wir erhalten ausgewählte Vorkenntnisse über Ihr System wie verwendete Technologien und Zugangsdaten und handeln als Innentäter:innen, Mitarbeitende oder registrierte Nutzer:innen der Anwendung.

Whitebox Testing

Wir erhalten umfassende Kenntnisse über das Zielsystem einschließlich Quellcodes und Admin-Zugriff und handeln als Insider:innen.

Sorgfaltspflicht

Unsere Sicherheitsexpert:innen achten darauf, Ihren Systemen keinen Schaden zuzufügen. Oberstes Ziel ist, Ihre Geschäftsabläufe während und nach der Sicherheitsanalyse nicht zu stören.

Qualifikationen

Die Prüfhandlungen werden von ethischen Hackern durchgeführt, die über entsprechende branchenführende Zertifizierungen (OSCP, CEH, GPEM, White Hacker IHK, TÜV) verfügen.

Nehmen Sie unverbindlichen Kontakt auf. Wir beraten Sie gerne!

Sandra Weis

Ihre Ansprechpartnerin

Cookie-Einstellungen ändern

Diese Website verwendet Cookies, um Ihnen die bestmögliche Benutzererfahrung zu bieten. Cookie-Informationen werden in Ihrem Browser gespeichert und führen bestimmte Funktionen aus – zum Beispiel die Wiedererkennung bei Ihrem nächsten Besuch. Diese Informationen helfen unserem Team, zu verstehen, welche Abschnitte der Website für Sie am interessantesten und nützlichsten sind.

Hier finden Sie unsere Datenschutzerklärung.

Cookie-Einstellungen