SQL Injections (SQLi), Cross-Site Scripting (XSS) & Co
Das Kapitel "Hacking III: Web Application Attacks" im binsec Wiki zeigt, dass Webanwendungen meist den Zugriff über passwortbasierte Authentifizierung und rollenbasierte Berechtigungen steuern, was ihre Angriffsfläche besonders attraktiv macht. Eingaben aus Formularen, Headern, Cookies und APIs stellen potenzielle Einstiegspunkte dar, während clientseitige Prüfungen wie JavaScript-Validierungen kaum Schutz bieten, da sie mit Tools wie Burp Suite leicht umgangen werden können. Selbst wenn nur Fehlermeldungen sichtbar sind, können versteckte Verzeichnisse die eigentliche Anwendung preisgeben und müssen gezielt entdeckt werden. Sobald der Zugriff gelingt, konzentriert sich die Sicherheitsprüfung auf bekannte, aber kritische Schwachstellen wie SQL Injection (SQLi) und Cross-Site Scripting (XSS), die laut OWASP weiterhin zu den größten Bedrohungen zählen und im Wiki in eigenen Abschnitten vertieft behandelt werden.
Gehe zu Hacking III: Angriffe auf Webanwendungen
Wissen in
unserem Wiki
Das ist unsere Wiki-Seite.
Auf binsec.wiki findet man eine strukturierte Prüfliste zur Bewertung der Sicherheit von Quellcode. Sie basiert auf etablierten Standards wie den OWASP Top 10 und PCI DSS und unterstützt Entwickler sowie Sicherheitsteams dabei, häufige Schwachstellen frühzeitig zu erkennen. Die Checkliste wird von binsec in Code-Reviews eingesetzt und kann auch zur Vorbereitung auf Sicherheitsprüfungen von Webanwendungen und APIs verwendet werden.
Das Kapitel „Hacking I: Netzwerke scannen“ aus dem Pentest Training von binsec.wiki behandelt den entscheidenden ersten Schritt eines Penetrationstests: die Netzwerkerkundung. In dieser Phase wird die Angriffsfläche ermittelt, indem aktive Hosts, offene Ports und die darauf laufenden Dienste im Zielnetzwerk identifiziert werden.
Das Kapitel „Hacking II: Passwortangriffe“ im Pentest Training von binsec.wiki behandelt einen zentralen Bestandteil jeder Sicherheitsbewertung: das Ausnutzen schwacher oder kompromittierter Passwörter zur Erlangung unbefugten Zugriffs. Dabei wird zwischen Online- und Offline-Passwortangriffen unterschieden.
Das Binsec Wiki "Hacking III: Web Application Attacks" erklärt, dass Webanwendungen mit passwortbasierten Rollen eine breite Angriffsfläche über Formulare, Header und Cookies bieten. Clientseitige Prüfungen lassen sich mit Tools wie Burp Suite umgehen. Die Tests konzentrieren sich daher auf häufige, aber kritische Schwachstellen: SQL Injection (SQLi) und Cross-Site Scripting (XSS) – die laut OWASP weiterhin zu den am weitesten verbreiteten Bedrohungen gehören.
Manuelle Penetrationtests durch zertifizierte, festangestellte Senior Penetration Tester
Wer testet
Seit mehr als zehn Jahren steht binsec für technisch fundierte, konsequent manuelle Penetrationstests. Die Durchführung erfolgt ausschließlich durch festangestellte Senior Penetration Tester. Freelancer oder Subunternehmer kommen nicht zum Einsatz. Unsere Kunden arbeiten direkt mit dem verantwortlichen Senior Tester zusammen, der den Test persönlich durchführt und fachlich verantwortet. Die Kommunikation erfolgt auf Deutsch und Englisch; internationale Projekte sind fester Bestandteil unserer Tätigkeit. Unsere Experten verfügen über anerkannte Offensive-Security-Zertifizierungen wie OSCP, OSCE, CRTO und BACPP.
Was wir testen
Unsere Projekterfahrung umfasst komplexe Enterprise-Netzwerke, moderne Web- und API-Architekturen sowie hybride Infrastrukturen. Wir arbeiten für Unternehmen aus Industrie und Fertigung, dem Finanz- und Versicherungswesen, dem Gesundheitssektor, für IT- und Softwareanbieter sowie öffentliche Institutionen. Technische, regulatorische und organisatorische Rahmenbedingungen werden systematisch berücksichtigt.
Wie wir vorgehen
Die Tests basieren auf einer strukturierten und reproduzierbaren Methodik. Sie orientiert sich an etablierten Standards wie OWASP und OSSTMM und wird projektspezifisch angepasst. Jeder Test folgt klar definierten Phasen: strukturierte Informationsgewinnung, manuelle Analyse, gezielte Exploitation und belastbare Impact-Bewertung. Automatisierte Werkzeuge unterstützen den Prozess; Identifikation, Verifikation und Bewertung der Schwachstellen erfolgen manuell.
Wo wir testen und dokumentieren
Die Durchführung erfolgt nicht über Cloud-Infrastrukturen. Wir betreiben eine eigene Infrastruktur in einem Rechenzentrum in Frankfurt. Von dort aus werden die Tests zentral durchgeführt und in unserem internen System PTDoc dokumentiert. PTDoc dient als zentrale Dokumentationsplattform für sämtliche Projektdaten, Nachweise und Bewertungen. Alle Befunde werden strukturiert erfasst, technisch beschrieben, risikobewertet und mit reproduzierbaren Proof-of-Concept-Informationen hinterlegt.
Was Sie erhalten
Wir identifizieren technische Schwachstellen und bewerten deren geschäftliche Auswirkungen. Die Bewertung erfolgt risikoorientiert oder nach CVSS. Das Ergebnis ist ein klar strukturierter Bericht mit Management-Übersicht und technischer Detaildokumentation. Die Nachprüfung identifizierter Schwachstellen ist integraler Bestandteil unserer Leistung.
+49 692475607-0