Ein Penetrationstest einer Web-Anwendung erfordert nicht nur Erfahrung, sondern auch den gezielten Einsatz passender Werkzeuge. Bei der binsec GmbH kombinieren wir etablierte Open-Source-Tools, kommerzielle Lösungen und eigene Entwicklungen, um die Sicherheit von Web-Applikationen ganzheitlich zu prüfen.
Informationsgewinnung
dig
– DNS-Abfragen und erste Analyse der Zielinfrastruktur.- binsec.tools – unsere eigenen Utilities:
SubDomainFinder
– Ermittlung der Angriffsfläche über Subdomains.CertWatch
– Zertifikats-Transparenz und Ausgabeprüfung.
nmap
– Port- und Service-Erkennung inkl. Version- und Skriptanalyse.
Erkennung & Dokumentation
gowitness
undeyewitness
– automatisierte Screenshots und Host-/Endpoint-Dokumentation.wappalyzer
und binsec.toolsWebCompScan
– Identifikation von Frameworks, Bibliotheken und CMS-Komponenten.
Test der Web-Anwendung
curl
– zielgerichtete Requests und reproduzierbare Minimaltests.- Burp Suite Professional – zentrale Testplattform mit Plugins wie
Autorize
,Upload Scanner
sowie eigenenPython
-Skripten. ffuf
– Fuzzing von Pfaden, Parametern und Hidden Endpoints.nikto
– klassischer Schwachstellen-Scanner als Ergänzung.
API-Tests
- Postman und Bruno – strukturierte Test-Collections und reproduzierbare Workflows.
jwt_tool
– Analyse und Manipulation von JSON Web Tokens.sqlmap
undsstimap
– automatisierte Tests auf SQL- bzw. SSTI-Injection.
Kryptografie & Transport
- binsec.tools
SSLCheck
(sowie das eigenständige CLI-Toolsslcheck
) – detaillierte Bewertung der TLS-Konfiguration. - binsec.tools
HTTPHeaderCheck
– Analyse sicherheitsrelevanter HTTP-Header.
Skripting & Automatisierung
Python
– maßgeschneiderte Skripte, Proof-of-Concepts und Automatisierungen für spezielle Testfälle.
Fazit
Ein erfolgreicher Web-Application-Pentest stützt sich nicht auf ein einzelnes Tool, sondern auf die koordinierte Kombination unterschiedlicher Ansätze. So stellen wir sicher, dass relevante Angriffsvektoren realistisch geprüft werden – von Infrastruktur und APIs bis hin zu anwendungsspezifischer Logik.
Penetrationstest
FAQ
Unsere FAQ liefert klare Antworten auf häufige Fragen – direkt von Pentesting-Experten und komplett werbefrei.
Einführung in Pentesting
Was ist ein Penetrationstest? Welche Arten von Penetrationstests gibt es? Was ist der Unterschied zwischen einem Schwachstellenscan und einem Penetrationstest? Mehr Informationen.
Penetrationstest für Auftraggeber
Wie oft sollte man einen Penetrationstest durchführen? Was ist beim Thema Datenschutz im Rahmen eines Penetrationstests zu berücksichtigen? Mehr Informationen.
Berufsziel: Penetration Tester
Sollte ich Kali Linux lernen, um Penetration Tester zu werden? Sollte ich Kali Linux lernen, um Penetration Tester zu werden? Mehr Informationen.
Testen von Web-Anwendungen
Welche Tools setzt die binsec GmbH bei einem Pentest einer Web-Anwendung ein? Mehr Informationen.
Penetrationstest
Seit 2013 führen wir professionelle Penetrationstests durch, basierend auf internationalen Industriestandards und jahrelanger Erfahrung in Penetrationstests, Red Teaming und Hacking.
Als professioneller Anbieter für Penetrationstest machen wir einiges anders als andere Firmen: Als Dienstleister für Penetration Testing verkaufen wir automatisierte Schwachstellenscans nicht als Pentest. Wir betrachten auch geschäftliche Sicherheitsrisiken. Sie suchen ein Unternehmen für einen professionell durchgeführten Penetrationstest? Nehmen Sie das Team der binsec für Ihren Pentest. Erfahren Sie mehr über unsere Pentest Dienstleistung.
Kontaktieren Sie uns