Eine sichere Webanwendung bringt nicht viel, wenn die Kommunikation mit dem Backend von einer unsicheren API übernommen wird. Weist Ihre API entsprechende Schwachstellen auf? Mit unserem API Penetrationtest (Medium) erhalten Sie einen umfassenden Eindruck von der Sicherheit Ihrer API.
Welchen Umfang hat der API Penetrationtest (Medium)?
Dieser Penetrationtest hat einen Umfang von fünf Tagen.
Was ist im Penetrationtest enthalten?
Dieser Penetrationtest enthält alle Elemente des API Penetrationtest (Small):
- Welche Funktionen und Parameter vorhanden sind
- Ob API Dokumentationen öffentlich zugänglich sind und ob diese Hinweise auf Schwachstellen enthalten
- Ob die verwendete Software Sicherheitslücken aufweist
- Ob typische API Schwachstellen vorhanden sind
Zusätzlich wird folgendes getestet:
- Ob ein Zugriff auf nicht dokumentierte API Funktionen möglich ist
- Ob ein Zugriff auf ältere Varianten der API möglich ist
- Ob eine Umgehung der Authentifizierung möglich ist
- Ob ein Rate Limit vorhanden ist und ob es gegebenenfalls umgangen werden kann
Was erhalten Sie im Anschluss an den API Penetrationtest (Medium)?
Im Anschluss an den Penetrationtest erhalten Sie einen detaillierten Report, der alle gefundenen Schwachstellen auflistet. Enthalten ist dabei jeweils folgendes:
- Der “Ort” an dem die Schwachstelle auftrat (z.B. eine bestimmte API Funktion)
- Eine Kurzbeschreibung der Schwachstelle
- Eine ausführlichere Beschreibung der Schwachstelle, sowie des Risikos, das sich daraus ergibt
- Eine Anleitung wie die Schwachstelle gefunden wurde, sodass Ihre Entwickler den Vorgang nachvollziehen können
- Eine Empfehlung mit Gegenmaßnahmen, durch die die Schwachstelle behoben werden kann
Zusätzlich erhalten Sie von uns eine Umsetzungstabelle. In diese können Sie eintragen, wer für die Beseitigung der jeweiligen Schwachstellen verantwortlich ist und wie der aktuelle Stand ist. Auf diese Weise haben Sie stets einen Überblick darüber, wo Sie beim Beheben der Sicherheitslücken aktuell stehen.
Außerdem erstellen wir für Sie zu ausgewählten Schwachstellen Angriffszenarien, die die Ausnutzung der Schwachstelle in einem größeren Kontext erläutern. Besonders komplexe Probleme werden damit deutlich verständlicher, als durch eine reine Schwachstellenbeschreibung.
Zudem erhalten Sie von uns nach dem Abschluss des Penetrationtests ein Zertifikat, in dem wir Ihnen die Durchführung bestätigen.
Dieser Penetrationtest eignet sich für Sie, wenn:
- Sie Ihre API eingehender auf Schwachstellen testen möchten
- Sie ein Zertifikat für den durchgeführten Penetrationtest erhalten wollen
- Sie durch Angriffsszenarion sehen möchten, wie die gefundenen Schwachstellen in einem größeren Kontext ausgenutzt werden könnten
Dieser Penetrationtest eignet sich für Sie nicht, wenn:
- Sie lediglich einen ersten Eindruck von der Sicherheit Ihrer API benötigen.
Falls Sie lediglich einen ersten Eindruck von der Sicherheit Ihrer API erhalten wollen, prüfen Sie bitte unser API Penetrationtest (Small) Angebot.
Falls Sie einen umfangreichen Penetrationtest durchführen möchten, prüfen Sie bitte unser API Penetrationtest (Large) Angebot.
