We use cookies to enhance your experience. By continuing to visit this site you agree to our use of cookies.

API-Penetrationstests

Ein API-Penetrationstest ist ein simulierter Angriff auf Ihre API, der darauf abzielt, Schwachstellen in ihrer Cybersicherheit aufzudecken. Das Ergebnis eines solchen Penetrationstests ist ein umfassender Bericht und eine Präsentation, die alle in der API gefundenen Sicherheitsschwachstellen zusammenfasst und eine optimale Strategie zu deren Behebung aufzeigt.

Auxilium Cyber Security hat Erfahrung im Testen einer breiten Palette von API-Typen, von REST über SOAP bis hin zu GraphQL API.

Zielsetzung

Hauptziel des Penetrationstests ist es, die Schwachstellen Ihrer API aufzuspüren und geeignete Maßnahmen vorzuschlagen, um sie zu entschärfen.

Methodik der API-Penetrationstests

Bei API-Penetrationstests verwenden wir den Industriestandard OWASP API Security Top 10 Framework. Das ermöglicht uns, API auf alle gängigen Schwachstellen zu testen, insbesondere

  1. API1:2019 Gebrochene Autorisierung auf Objektebene
  2. API2:2019 Defekte Benutzerauthentifizierung
  3. API3:2019 Exzessive Datenexposition
  4. API4:2019 Mangel an Ressourcen und Ratenbegrenzung
  5. API5:2019 Gebrochene Funktionslevel-Autorisierung
  6. API6:2019 Massenzuweisung
  7. API7:2019 Fehlkonfiguration der Sicherheit
  8. API8:2019 Injektion
  9. API9:2019 Unsachgemäße Vermögensverwaltung
  10. API10:2019 Unzureichende Protokollierung und Überwachung

Beim Testen der API verwenden wir die Revision der Norm von 2019. Weitere Informationen finden Sie hier: OWASP API Security Project

Unser Ansatz für API-Penetrationstests

1. Unseren Kunden verstehen

Wir beginnen damit, die geschäftlichen und technischen Anforderungen unseres Kunden genau zu verstehen und Informationen über die Webanwendung selbst zu sammeln, insbesondere über ihre Funktionalität und Architektur.

2. Einigung auf ein kommerzielles Angebot

Auf der Grundlage unseres Verständnisses Ihrer Bedürfnisse und Anforderungen wird ein detailliertes kommerzielles Angebot erstellt. Dieses Angebot umfasst die Methodik der Penetrationstests, die Testszenarien, die Art der Berichterstattung über die Ergebnisse und den Umfang der Penetrationstests. Das Ergebnis dieser Phase ist ein formell vereinbartes Angebot für Penetrationstests.

3. Penetrationstests

Der Penetrationstest selbst wird streng nach unserer gemeinsamen Vereinbarung durchgeführt. Während des eigentlichen Penetrationstests deckt unser Team Schwachstellen in Ihrer Anwendung auf und zeigt Ihnen, wie diese von einem Hacker missbraucht werden können.

4. Berichterstattung

Wir liefern Ihrem Team einen detaillierten Bericht über die Penetrationstests. Dieser Bericht enthält alle Schwachstellen zusammen mit Vorschlägen, wie diese zu beseitigen sind. Bei Bedarf können wir auch eine zusammenfassende Präsentation für Ihr Management vorbereiten, damit Sie die Ergebnisse effizient an die Entscheidungsträger Ihres Unternehmens weitergeben können.

5. Unterstützung bei der Behebung von Schwachstellen

Wenn Ihr Unternehmen nur über begrenzte interne Kapazitäten verfügt, können wir Sie bei der Behebung der festgestellten Schwachstellen unterstützen.

6. Schulung Ihres Entwicklerteams

Wir können auch maßgeschneiderte Richtlinien zur sicheren Kodierung und Schulungen für Ihr Entwicklungsteam vorbereiten, die die Ergebnisse der durchgeführten Penetrationstests widerspiegeln. Dies würde Ihrem Team helfen, dieselben Sicherheitsfehler nicht noch einmal zu machen.

Warum Auxilium Cyber Security?

  1. Erfahrene Penetrationstester mit OSCP, OSCE oder CISM Zertifizierung
  2. Eigene Forschung auf dem Gebiet der Cybersicherheit
  3. Wir liefern umfassende Penetrationstestberichte mit Vorschlägen zur Behebung von Schwachstellen
  4. Wir können Sie auf Englisch, Deutsch oder Tschechisch unterstützen
  5. Wir haben seit 2015 Erfahrung mit API-Penetrationstests
  6. Wir können sichere Kodierungsrichtlinien und Schulungen anbieten, die die Ergebnisse von Penetrationstests widerspiegeln

Kontaktieren Sie uns

Über das Formular auf unserer Webseite

Unsere Forschung im Bereich API-Penetrationstests

  • Sicherheitsprüfung des Portals LearnShell - Bachelorarbeit, die von unserer Firma an der Tschechischen Technischen Universität durchgeführt wurde. Das Hauptziel war die Durchführung eines Penetrationstests der GraphQL API des Universitätsportals LearnShell.

Ausgewählte Referenz im API-Penetrationstest

  • Technische Universität Ostrava - Penetrationstest der REST API, die für die Bestellung und Planung von Berechnungsaufgaben in IT4Innovations - dem größten Supercomputer in der Tschechischen Republik - bestimmt ist.

Telefon

Germany: +49 (0) 7243 - 718 77 55
Czech Republic: +420 739 467 470

LinkedIn

www.linkedin.com

Adresse

Siemensstraße 23
76275 Ettlingen
Germany
Přístavní 1363/1
17000 Prague
Czech Republic