Penetrationstests für Webanwendungen, und jede App dazwischen.
Moderne Anwendungen sind ausufernde Angriffsflächen: Web-Frontends, mobile Clients und die APIs dahinter. SubRosa testet sie alle auf Business-Logic-Missbrauch und Zugriffskontrollfehler, die Scanner übersehen, mit Fokus auf ausnutzbares Risiko und reale geschäftliche Auswirkungen.
Web · Mobil · API · Quellcode · OWASP Top 10
Was sind Penetrationstests für Webanwendungen?
Ein Penetrationstest für Webanwendungen ist eine praktische Sicherheitsbewertung einer Anwendung, ihres Frontends, ihrer APIs, Authentifizierung und Geschäftslogik, um die Schwachstellen zu finden, die ein Angreifer ausnutzen könnte: fehlerhafte Zugriffskontrolle, Injection, Umgehung der Authentifizierung und Logikmissbrauch wie Kontoübernahme. Anders als ein automatisierter Scan testet er die Abläufe und Grenzfälle, die ein echter Angreifer nutzen würde, über Rollen und Zustände hinweg, und belegt, welche Daten oder Aktionen er tatsächlich erreichen könnte.
Web, Mobil und die APIs dahinter.
Spezialisierte Tests über jeden Anwendungstyp und jede Ebene in Ihrer Umgebung hinweg.
Tests für Webanwendungen
Vollständige Abdeckung der OWASP Top 10 plus Tests von Authentifizierung, Session und Geschäftslogik: Kontoübernahme, Rechteausweitung und Datenexposition über Rollen und Zustände hinweg.
API-Sicherheitstests
REST- und GraphQL-APIs, getestet gegen die OWASP API Top 10: fehlerhafte Autorisierung auf Objekt- und Funktionsebene (BOLA), Mass Assignment und übermäßig freizügige Datenexposition.
Tests für mobile Anwendungen
Bewertung von iOS und Android, die API-Verkehr, lokale Datenspeicherung und Reverse Engineering der kompilierten App umfasst.
Quellcode-Review
Manuelles und automatisiertes Review Ihres Quellcodes, um Schwachstellen, unsichere Muster und architektonische Probleme abzufangen, bevor sie in Produktion gehen.
Über den Scanner hinaus, hinein in die Logik.
Fokus auf Geschäftslogik
Automatisierte Tools übersehen Logikmissbrauch. Wir testen die Abläufe, die Angreifer ausnutzen, Kontoübernahme, Umgehung der Autorisierung und Zustandsmanipulation, die kein Scanner finden kann.
Full-Stack-Abdeckung
Wir testen über UI-, API- und Backend-Ebenen hinweg und verketten Bedingungen, um zu zeigen, wie aus einer geringfügigen Lücke eine vollständige Kompromittierung wird.
Entwicklerfertige Befunde
Zu jedem Befund gehören Schritte zur Reproduktion, betroffene Codepfade und klare Hinweise zur Behebung, auf die Ihre Entwickler sofort reagieren können.
Vom Befund zur Behebung.
Ihre Befunde aus den Anwendungstests leben in Sable, priorisiert, Verantwortlichen zugewiesen und von offen bis erneut getestet nachverfolgt, sodass die Behebung auf Kurs bleibt und nichts durchrutscht.
- CriticalOpenBroken object-level auth (BOLA)API
- HighIn progressAccount takeover via reset flowWeb
- HighRetestedMass assignment on user objectAPI
- MediumOpenSecrets in local storageMobile
Sichern Sie Ihre Apps, bevor Angreifer sie testen.
Buchen Sie einen Penetrationstest für Webanwendungen und finden Sie die Business-Logic- und Zugriffskontrollfehler, die Scanner niemals aufdecken.