Penetrationtesting

Penetrationtesting ist die Bezeichnung für eine Sicherheitsüberprüfung eines Netzwerksystems oder Servers aus Sicht eines Hackers. Innerhalb der Einordnung von Sicherheitstests bezeichnet ein Penetrationtest einen Test, bei dem ein Sicherheitsexperte versucht, mit entsprechenden Programmen in ein System einzudringen, so wie es auch ein Hacker macht, der versucht Ihren Server in seine Gewalt zu bringen, um Ihnen Schaden zuzufügen. Mit einem Penetrationstest kann man vorbeugend einem eventuellen Hackerangriff begegnen indem man die bei dem Pentrationtest gefundenen Sicherheitslücken schließt.

Wir bieten Ihnen einen Penetrationstest auf Ihrem Webserver an, informieren Sie über alle gefundenen Sicherheitslücken und beraten Sie über Gegenmaßnahmen. Auf Wunsch können wir die gefundenen Lücken umgehend für Sie schließen. Unsere Penetrationtests werden von geschultem Personal durchgeführt und auf Erfolgsbasis vergütet.

Bei Interesse oder weiteren Fragen stehen wir Ihnen gerne zur Verfügung.

Wir bieten Ihnen folgende Sicherheitschecks an:

Audit von Web Applications (php, perl(cgi), ajax)

  • Überprüfen auf MySQL-Injections, Remote File Inclusions, XSS(Cross-Site Scripting)
  • Überprüfen auf spezielle Fehler (fehlerhafte Konfiguration, null byte file upload, null byte cgi exploitation, User Eingaben an exec() / system() ohne Überprüfung, Spoofen (Cookies, Logins, Referrer...) und vieles mehr - abhängig von Anwendungsfall)
  • Analyse des Source Codes im Bezug auf Sicherheit (werden Eingaben korrekt überprüft, entsprechende Rechtevergaben sichergestellt, usw.)

Audit ganzer Server/Netzwerke

  • Portscan, Fingerprinting, Ermitteln der Dienste
  • Ermitteln der verwendeten Versionen, Konfigurationen
  • Überprüfen, ob es Sicherheitslücken/Exploits gibt
  • Anwenden der remote Exploits, um in das System einzudringen
  • Anwenden von local Exploits, um mehr Rechte zu erlangen
  • Nochmalige Analyse mit automatisierten Programmen für Pen-Tests
  • Überprüfen der WebApplications (z.B. phpBB, WordPress, usw.) auf Versionen
  • Anwenden von Exploits, um Zugang zu der Datenbank, zu E-Mails oder zum System zu bekommen
  • Überprüfen auf spezielle Fehler (phpmyadmin ohne .htaccess Schutz und User/Passwort -> root User der Datenbank, usw.)

Social Engineering

  • Durch Social Engineering (Telefon, Email, usw.) an vertrauliche Daten gelangen und ggf. System kompromittieren

Abschließender Bericht

  • Zusammenfassungen der überprüften Funktionen
  • Aufzählungen und Erläuterung von Sicherheitslücken
  • Erklärung zur Behebung der lokalisierten Sicherheitslücke
  • Einschätzen des Sicherheitsstandes

Unsere Penetrationtestingdienstleistungen werden nur von fachkundigem Personal ausgeführt. Die Preise für die Penetrationtestingdienstleistungen werden individuell festgelegt. Unsere Stundenlöhne entnehmen Sie bitte unserer Preisliste.