Unternehmen für manuelle Pentests

Wir führen Penetrationstest von Webanwendungen durch. Der Umfang und die Komplexität einer Webanwendung können von einer statischen Webseite bis zu einer mandantenfähigen Anwendung reichen. Dies spiegelt sich auch in der Seitenzahl des OWASP Testing Guide wider, der auf mehreren hundert Seiten Testmethoden gegen Webanwendungen zusammenfasst. Wir testen eine Webanwendung sowohl mit als auch ohne Anmeldeinformationen. Um Fehler im Berechtigungsmanagement der Webanwendung effizient aufzudecken, fordern wir Testkonten für jede Benutzerrolle und ggf. für unterschiedliche Mandanten an. Bei dem Penetrationstest einer Web-Anwendung testen wir natürlich auch auf typische Angriffe wie Injection und XSS.

Mehr Informationen über Pentest von Web-Anwendungen

Wir führen Penetrationstests für Medizingeräte durch, um die Medizinprodukteverordnung (MDR) zu erfüllen. Die MDR fordert die Überprüfung und Validierung der Sicherheit von Medizinprodukten und -software. Die Koordinierungsgruppe für Medizinprodukte (Medical Device Coordination Group) gibt in ihrem Leitfaden zur Cybersicherheit von Medizinprodukten an, dass Tests das primäre Mittel zur Sicherheitsüberprüfung und -validierung darstellen.

Mehr Informationen über Pentest von Medizingeräten

Die binsec GmbH führt interne Penetrationstests durch, um Schwachstellen in Netzwerken, Systemen und Anwendungen aus Sicht eines Angreifers mit internem Zugriff zu identifizieren. Dabei werden Angriffsflächen analysiert, typische Benutzerrechte geprüft und mögliche Eskalations- und Bewegungswege innerhalb der Infrastruktur bewertet. Je nach Scope kommen unterschiedliche Szenarien zum Einsatz, etwa ohne Zugangsdaten, mit Benutzeraccount oder unter Einbezug physischer Sicherheit. Typische Prüfbereiche sind Active Directory, interne Dienste, Webanwendungen, Netzwerksegmentierung sowie Wireless- und IoT-Systeme.

Mehr Informationen über interne Penetrationstest

Die binsec GmbH führt externe Penetrationstests durch, um über das Internet erreichbare Systeme gezielt aus Angreifersicht zu prüfen. Dabei werden öffentlich zugängliche Informationen analysiert, Dienste identifiziert und Schwachstellen manuell bewertet. Je nach Scope erfolgt auch eine praktische Ausnutzung gefundener Lücken, um reale Risiken nachvollziehbar darzustellen. Typische Prüfbereiche sind Webanwendungen, APIs, Netzwerkinfrastruktur, Cloud-Dienste und E-Mail-Systeme. Die Durchführung orientiert sich an etablierten Standards wie OWASP und OSSTMM und gewährleistet eine strukturierte, reproduzierbare Analyse.

Mehr Informationen über externe Penetrationstest

Die binsec GmbH führt Penetrationstests von Android- und iOS-Apps durch. Die Untersuchungsmethode der binsec GmbH bei mobilen Anwendungen (Android und iOS) orientiert sich am OWASP Mobile Application Security Testing Guide und an den OWASP Mobile TOP 10. Das Open Web Application Security Project (OWASP) ist derzeit die weltweit größte Non-Profit-Organisation mit dem Ziel, die Sicherheit von Anwendungen zu erhöhen.

Mehr Informationen über Pentest von mobilen Anwendungen

Wir führen Penetrationstest von APIs durch und testen regelmäßig z.B. REST-APIs und XML-APIs. Eine API kann sowohl als eigenständiges Testobjekt in einem Penetrationstest als auch in Kombination mit einem Frontend auf Schwachstellen untersucht werden. Normalerweise fragen wir während des Angebotsprozesses nach einer Art API-Dokumentation oder einer Beschreibung der API-Komplexität, um die erforderliche Zeit für den Penetrationstest einzuschätzen. Wenn eine Webanwendung eine API verwendet, können wir auch die verfügbaren Endpunkte einer API im Rahmen des Penetrationstest ermitteln. Typische API-Sicherheitslücken sind zum Beispiel Fehler bei der Eingabevalidierung oder ein unzureichendes Berechtigungsmanagement.

Mehr Informationen über Pentest von API