Zum Inhalt springen

API Penetrationtest (Large)

0,00 

Reißt Ihre API eine Lücke in die Sicherheit Ihrer Webanwendung?

Finden Sie es heraus!

Eine sichere Webanwendung bringt nicht viel, wenn die Kommunikation mit dem Backend von einer unsicheren API übernommen wird. Weist Ihre API entsprechende Schwachstellen auf? Mit unserem API Penetrationtest (Large) erhalten Sie einen umfassenden Eindruck von der Sicherheit Ihrer API.

Welchen Umfang hat der API Penetrationtest (Large)?

Dieser Penetrationtest hat einen Umfang von zehn Tagen.

Was ist im Penetrationtest enthalten?

Dieser Penetrationtest enthält alle Elemente des API Penetrationtest (Small):

  • Welche Funktionen und Parameter vorhanden sind
  • Ob API Dokumentationen öffentlich zugänglich sind und ob diese Hinweise auf Schwachstellen enthalten
  • Ob die verwendete Software Sicherheitslücken aufweist
  • Ob typische API Schwachstellen vorhanden sind

und alle Elemente des API Penetrationtest (Medium):

  • Ob ein Zugriff auf nicht dokumentierte API Funktionen möglich ist
  • Ob ein Zugriff auf ältere Varianten der API möglich ist
  • Ob eine Umgehung der Authentifizierung möglich ist
  • Ob ein Rate Limit vorhanden ist und ob es gegebenenfalls umgangen werden kann

Zusätzlich wird folgendes getestet:

  • Ob Parameter der API Funktionen manipuliert werden können
  • Ob ein Zugriff auf die Daten anderer User möglich ist
  • Ob eine Ausweitung der Rechte (Privilege Escalation) möglich ist
  • Ob die Business Logic der API Schwachstellen aufweist (z.B. eine Eingabe von negativen Preisen)

Was erhalten Sie im Anschluss an den API Penetrationtest (Large)?

Im Anschluss an den Penetrationtest erhalten Sie einen detaillierten Report, der alle gefundenen Schwachstellen auflistet. Enthalten ist dabei jeweils folgendes:

  • Der “Ort” an dem die Schwachstelle auftrat (z.B. eine bestimmte API Funktion)
  • Eine Kurzbeschreibung der Schwachstelle
  • Eine ausführlichere Beschreibung der Schwachstelle, sowie des Risikos, das sich daraus ergibt
  • Eine Anleitung wie die Schwachstelle gefunden wurde, sodass Ihre Entwickler den Vorgang nachvollziehen können
  • Eine Empfehlung mit Gegenmaßnahmen, durch die die Schwachstelle behoben werden kann

Zusätzlich erhalten Sie von uns eine Umsetzungstabelle. In diese können Sie eintragen, wer für die Beseitigung der jeweiligen Schwachstellen verantwortlich ist und wie der aktuelle Stand ist. Auf diese Weise haben Sie stets einen Überblick darüber, wo Sie beim Beheben der Sicherheitslücken aktuell stehen.

Außerdem erstellen wir für Sie zu ausgewählten Schwachstellen Angriffszenarien, die die Ausnutzung der Schwachstelle in einem größeren Kontext erläutern. Besonders komplexe Probleme werden damit deutlich verständlicher, als durch eine reine Schwachstellenbeschreibung.

Zudem erhalten Sie von uns nach dem Abschluss des Penetrationtests ein Zertifikat, in dem wir Ihnen die Durchführung bestätigen.

Dieser Penetrationtest eignet sich für Sie, wenn:

  • Sie Ihre API ausführlich und umfassend auf Schwachstellen testen möchten
  • Sie ein Zertifikat für den durchgeführten Penetrationtest erhalten wollen
  • Sie durch Angriffsszenarion sehen möchten, wie die gefundenen Schwachstellen in einem größeren Kontext ausgenutzt werden könnten

Dieser Penetrationtest eignet sich für Sie nicht, wenn:

  • Sie lediglich einen ersten Eindruck von der Sicherheit Ihrer API benötigen.

Falls Sie lediglich einen ersten Eindruck von der Sicherheit Ihrer API erhalten wollen, prüfen Sie bitte unser API Penetrationtest (Small) Angebot.