Anwendungen
API-Schnittstellen
Mittels APIs werden oft sensitive Daten abgefragt und Prozesse gestartet, welche es vor Angriffen abzusichern gilt.
Ein speziell für kleine und mittlere Unternehmen erstellter Penetrationstest mit großem Umfang und Subvention.
Sie haben Fragen zu Ihrer Auswahl oder sind sich unsicher? Nehmen Sie gerne Kontakt mit uns auf!
Mittels APIs werden oft sensitive Daten abgefragt und Prozesse gestartet, welche es vor Angriffen abzusichern gilt.
Bei diesem Penetrationstest untersuchen unsere Ethical Hacker Ihre API auf Sicherheitsschwachstellen und Konfigurationsfehler.
Der Test kann bei Ihnen vor Ort oder von Remote aus stattfinden.
Beispielhafte Prüfobjekte:
Wir nutzen Postman und Swagger Collections, um typische Anfragen Ihrer API zu aggregieren und anschließend auf Schwachstellen zu prüfen.
Wir importieren Ihr WSDL Datenmodell, um anschließend eine Schwachstellenanalyse durchzuführen.
Das Forschungsunternehmen Gartner sagt voraus, dass sich bis 2022 API-Angriffe zu den meist durchgeführten Angriffen entwickeln. ¹
Ein durchschnittliches Unternehmen verwaltet etwa 360 APIs. API Sicherheit ist daher ein wichtiger Risikofaktor. ²
Moderne Anwendungen werden stets komplexer und durch die verschiedensten API-Schnittstellen erweitert, um Daten und Inhalte von überall abrufen bzw. erzeugen zu können. APIs sind folglich ein kritischer Bestandteil moderner Mobil-, SaaS- und Webanwendungen und können in den unterschiedlichsten Bereichen wie dem Bankwesen, Einzelhandel oder Internet of Things (IoT) vorgefunden werden. Die Wichtigkeit der Bereitstellung einer konsequenten Anwendungssicherheit nimmt stetig zu, da APIs oftmals das Ziel von Hackerangriffen werden. Hierbei wird versucht, sensitive Daten wie Passwörter oder personenbezogene Daten zu stehlen.
Mit der Beauftragung eines API Penetrationstests unterziehen wir die mit Ihnen im Projektumfang definierten API-Schnittstellen (z.B. SOAP oder REST) einer umfassenden Sicherheitsanalyse auf Netzwerk- und Anwendungsebene. Anhand der OWASP API Security Top 10 überprüfen wir Ihre API-Schnittstelle auf bekannte Schwachstellen und helfen Ihnen dabei, Ihre API vor unbefugten Zugriffen zu schützen.
Unsere Tests auf Netzwerkebene beinhalten einen automatisierten Schwachstellenscan sowie eine manuelle Analyse aller von der API bereitgestellten Netzwerkdienste aus der Perspektive eines externen Angreifers (black-box). Die Tests auf Anwendungsebene werden hingegen mit einem semi-manuellen Ansatz sowie ohne gültige Nutzerzugangsdaten (grey-box) durchgeführt.
Test als externer Angreifer ohne Zusatzinformationen
Test mit validen Zugangsdaten
Test mit Zugangsdaten und Einsicht in den Quellcode