Web Application Tests
OWASP Top 10, Authentisierung, Access Control, API- und GraphQL-Tests.
Zur LeistungPENETRATION TESTING
Angriffe, dienachvollziehbardokumentiert sind.
Penetrationstests bei SEKurity sind handgeführte, zielgerichtete Prüfungen durch zertifizierte Offensivspezialisten. Keine Scanner-Dumps, keine aufgeblähten Listen ohne Kontext. Jedes Finding ist reproduzierbar, priorisiert und mit einer konkreten Gegenmaßnahme versehen.
01 · SCOPING
Black-, Grey- und Whitebox. Offen besprochen.
Wir wählen das Scoping nicht nach Marketing, sondern nach Angriffsrealität. Blackbox für reine Perimeter-Validierung, Greybox für die meisten Projekte (getestet mit Standardnutzer-Accounts) und Whitebox dort, wo Sourcecode- und Architekturzugriff den Wert deutlich erhöht. Die Entscheidung treffen wir in einem technischen Kick-off gemeinsam mit Ihrem Team.
02 · DELIVERABLES
Ein Bericht, der intern verteidigt werden kann.
Jeder Test endet mit einem Bericht: Management-Summary, technische Befunde mit Request/Response-Belegen, CVSS-Bewertung, Reproduktionsschritten und empfohlenen Maßnahmen. Berichtssprache Deutsch oder Englisch nach Ihrer Wahl, unabhängig von der Durchführungssprache. Dazu eine technische Abschlussbesprechung mit Entwicklung und Betrieb. Retests geschlossener Findings sind optional und werden separat ausgewiesen.
03 · LEISTUNGEN
Sechs Disziplinen, ein Qualitätsstandard.
Mobile App Tests
iOS und Android, statisch und dynamisch, MASVS/MASTG-orientiert.
Zur LeistungPerimeter Tests
Externe Angriffsfläche, VPN-Appliances, Mail, DNS, Subdomain-Hygiene.
Zur LeistungInfrastructure Tests
Internes Netzwerk, Segmentierung, Lateral Movement, Privilege Escalation.
Zur LeistungActive Directory Tests
Kerberos, ACL-Abuse, ADCS ESC1-11, Delegation, Tier-0-Containment.
Zur LeistungSAP Security Tests
NetWeaver, S/4HANA, RFC/Gateway, kritische Rollen, Transportwesen.
Zur LeistungNÄCHSTER SCHRITT
Reden wir über das konkrete Ziel Ihres nächsten Pentests.
Ein 30-minütiges Gespräch mit einem Testleiter genügt, um Scope, Zeitfenster und Tiefe realistisch zu umreißen. Keine Vertriebsrunde, sondern eine technische Vorklärung.