Penetrationstests

Penetrationstests für Webanwendungen, und jede App dazwischen.

Moderne Anwendungen sind ausufernde Angriffsflächen: Web-Frontends, mobile Clients und die APIs dahinter. SubRosa testet sie alle auf Business-Logic-Missbrauch und Zugriffskontrollfehler, die Scanner übersehen, mit Fokus auf ausnutzbares Risiko und reale geschäftliche Auswirkungen.

Web · Mobil · API · Quellcode · OWASP Top 10

Penetrationstests für Webanwendungen, erklärt

Was sind Penetrationstests für Webanwendungen?

Ein Penetrationstest für Webanwendungen ist eine praktische Sicherheitsbewertung einer Anwendung, ihres Frontends, ihrer APIs, Authentifizierung und Geschäftslogik, um die Schwachstellen zu finden, die ein Angreifer ausnutzen könnte: fehlerhafte Zugriffskontrolle, Injection, Umgehung der Authentifizierung und Logikmissbrauch wie Kontoübernahme. Anders als ein automatisierter Scan testet er die Abläufe und Grenzfälle, die ein echter Angreifer nutzen würde, über Rollen und Zustände hinweg, und belegt, welche Daten oder Aktionen er tatsächlich erreichen könnte.

Was wir testen

Web, Mobil und die APIs dahinter.

Spezialisierte Tests über jeden Anwendungstyp und jede Ebene in Ihrer Umgebung hinweg.

Tests für Webanwendungen

Vollständige Abdeckung der OWASP Top 10 plus Tests von Authentifizierung, Session und Geschäftslogik: Kontoübernahme, Rechteausweitung und Datenexposition über Rollen und Zustände hinweg.

API-Sicherheitstests

REST- und GraphQL-APIs, getestet gegen die OWASP API Top 10: fehlerhafte Autorisierung auf Objekt- und Funktionsebene (BOLA), Mass Assignment und übermäßig freizügige Datenexposition.

Tests für mobile Anwendungen

Bewertung von iOS und Android, die API-Verkehr, lokale Datenspeicherung und Reverse Engineering der kompilierten App umfasst.

Quellcode-Review

Manuelles und automatisiertes Review Ihres Quellcodes, um Schwachstellen, unsichere Muster und architektonische Probleme abzufangen, bevor sie in Produktion gehen.

Warum SubRosa

Über den Scanner hinaus, hinein in die Logik.

Fokus auf Geschäftslogik

Automatisierte Tools übersehen Logikmissbrauch. Wir testen die Abläufe, die Angreifer ausnutzen, Kontoübernahme, Umgehung der Autorisierung und Zustandsmanipulation, die kein Scanner finden kann.

Full-Stack-Abdeckung

Wir testen über UI-, API- und Backend-Ebenen hinweg und verketten Bedingungen, um zu zeigen, wie aus einer geringfügigen Lücke eine vollständige Kompromittierung wird.

Entwicklerfertige Befunde

Zu jedem Befund gehören Schritte zur Reproduktion, betroffene Codepfade und klare Hinweise zur Behebung, auf die Ihre Entwickler sofort reagieren können.

Jede Schwachstelle, nachverfolgt bis zur Behebung.

Vom Befund zur Behebung.

Ihre Befunde aus den Anwendungstests leben in Sable, priorisiert, Verantwortlichen zugewiesen und von offen bis erneut getestet nachverfolgt, sodass die Behebung auf Kurs bleibt und nichts durchrutscht.

App-Befunde in Sable
Application findingsWeb · API · Mobile
  • Critical
    Broken object-level auth (BOLA)
    API
    Open
  • High
    Account takeover via reset flow
    Web
    In progress
  • High
    Mass assignment on user object
    API
    Retested
  • Medium
    Secrets in local storage
    Mobile
    Open
OWASP Top 10 mappedReproduction + fix

Sichern Sie Ihre Apps, bevor Angreifer sie testen.

Buchen Sie einen Penetrationstest für Webanwendungen und finden Sie die Business-Logic- und Zugriffskontrollfehler, die Scanner niemals aufdecken.