Eine sichere Webanwendung bringt nicht viel, wenn die Kommunikation mit dem Backend von einer unsicheren API übernommen wird. Weist Ihre API entsprechende Schwachstellen auf? Mit unserem API Penetrationtest (Small) erhalten Sie einen ersten Eindruck von der Sicherheit Ihrer API.
Welchen Umfang hat der API Penetrationtest (Small)?
Dieser Penetrationtest ist als Basis Angebot zu verstehen und hat einen Umfang von zwei Tagen.
Was ist im Penetrationtest enthalten?
Dieser Penetrationtest ist dazu gedacht, einen ersten Eindruck von der Sicherheit Ihrer API zu erhalten. Wir testen daher:
- Welche Funktionen und Parameter vorhanden sind
- Ob API Dokumentationen öffentlich zugänglich sind und ob diese Hinweise auf Schwachstellen enthalten
- Ob die verwendete Software Sicherheitslücken aufweist
- Ob typische API Schwachstellen vorhanden sind
Die Überprüfung ist dabei weitgehend passiv (und somit auch für fehleranfällige Systeme geeignet). Eine aktive Ausnutzung der Schwachstellen findet nicht statt.
Was erhalten Sie im Anschluss an den API Penetrationtest (Small)?
Im Anschluss an den Penetrationtest erhalten Sie einen detaillierten Report, der alle gefundenen Schwachstellen auflistet. Enthalten ist dabei jeweils folgendes:
- Der “Ort” an dem die Schwachstelle auftrat (z.B. eine bestimmte API Funktion)
- Eine Kurzbeschreibung der Schwachstelle
- Eine ausführlichere Beschreibung der Schwachstelle, sowie des Risikos, das sich daraus ergibt
- Eine Anleitung wie die Schwachstelle gefunden wurde, sodass Ihre Entwickler den Vorgang nachvollziehen können
- Eine Empfehlung mit Gegenmaßnahmen, durch die die Schwachstelle behoben werden kann
Zusätzlich erhalten Sie von uns eine Umsetzungstabelle. In diese können Sie eintragen, wer für die Beseitigung der jeweiligen Schwachstellen verantwortlich ist und wie der aktuelle Stand ist. Auf diese Weise haben Sie stets einen Überblick darüber, wo Sie beim Beheben der Sicherheitslücken aktuell stehen.
Dieser Penetrationtest eignet sich für Sie, wenn:
- Sie einen ersten Eindruck von der Sicherheit Ihrer API erhalten wollen
- Sie nur ein begrenztes Budget zur Verfügung haben
Dieser Penetrationtest eignet sich für Sie nicht, wenn:
- Sie ein Zertifikat für den durchgeführten Penetrationtest benötigen
- Sie Angriffszenarien benötigen, die die Ausnutzung der Schwachstellen in einem größeren Kontext zeigen
- Sie sehen möchten wie Schwachstellen tatsächlich in der Praxis ausgenutzt werden können
Falls Sie an Zertifikat, Angriffsszenarien und einer eingehenderen Prüfung interessiert sind, prüfen Sie bitte unser API Penetrationtest (Medium) und API Penetrationtest (Large) Angebot.
