Pentests von APIs

Angriffssimulationen auf Web-APIs zur Aufdeckung von Sicherheitslücken.

Warum?

  • Fast alle Webapplikationen oder Apps setzten mittlerweile auf APIs zum Datenaustausch
  • Deshalb sind APIs eine häufige Angriffsfläche für Sicherheitslücken
  • Schwachstellen, unter anderem in der Authentifizierung, fehlendes Rate Limiting oder unzureichende Eingabevalidierung, werden identifiziert
  • Bietet eine Grundlage für die Verbesserung von Authentifizierungsmechanismen und Datenvalidierung
  • Schützt vor Missbrauch und möglichen Angriffen wie DoS und Injection-Angriffen

Wann?

  • Nach der Bereitstellung neuer APIs
  • Regelmäßig, insbesondere bei Änderungen in der API-Struktur
  • Vor und nach größeren Releases
  • Wenn neue Endpunkte oder Funktionen entwickelt werden
  • Zur Überprüfung von Implementierungen nach Compliance-Vorgaben

Ablauf?

  1. Kickoff & Scoping
  2. Informationsbeschaffung
  3. Schwachstellenanalyse
  4. Exploitation & Post-Exploitation
  5. Reporting
  6. Abschlussbesprechung

Vorbereitungen?

  • Zugang zu der API (URL, Credentials)
  • Ausgefülltes Swagger bzw. SOAP File, oder vollständige Postman Collection
  • Test-IPs für Whitelisting bei WAF/GeoIP-Filtern
  • Verantwortliche technische Ansprechpartner sind informiert
  • Notwendige Zugangsdaten für Authentifizierung (z.B. Login-Daten)
  • Zustimmung zur Durchführung (Testing Agreement) falls Dritte involviert sind

Individuell konfigurieren

Erstellen Sie Ihr individuelles Angebot für Pentests von APIs jetzt mit unserem Konfigurator - schnell, einfach und passgenau!

Jetzt konfigurieren

Beispielberichte

Um einen Eindruck zu erhalten, wie Ihr individueller Bericht aussehen kann, können Sie hier unseren Beispielbericht einsehen.

    Wir arbeiten derzeit noch daran. Schauen Sie sich gerne die Beispielbericht von unseren anderen Produkten an.

Noch Fragen?

Wenden Sie sich gerne direkt an uns.

Kontakt
Werden DoS-Angriffe durchgeführt?

Nein, Denial-of-Service-Angriffe sind standardmäßig ausgeschlossen.

Welche IPs nutzen die Tester?

Diese werden im Vorfeld abgestimmt und bleiben während des Tests gleich.

Beeinträchtigt der Test den laufenden Betrieb?

Die Tests werden so durchgeführt, dass die Verfügbarkeit nicht gefährdet wird.