Skip to content
Anwendungen

API-Schnittstellen

Mittels APIs werden oft sensitive Daten abgefragt und Prozesse gestartet, welche es vor Angriffen abzusichern gilt.

Prüfumfang des Pentests

Bei diesem Penetrationstest untersuchen unsere Ethical Hacker Ihre API auf Sicherheitsschwachstellen und Konfigurationsfehler.
Der Test kann bei Ihnen vor Ort oder von Remote aus stattfinden.

Beispielhafte Prüfobjekte:

REST

Wir nutzen Postman und Swagger Collections, um typische Anfragen Ihrer API zu aggregieren und anschließend auf Schwachstellen zu prüfen.

SOAP

Wir importieren Ihr WSDL Datenmodell, um anschließend eine Schwachstellenanalyse durchzuführen.

Das Forschungsunternehmen Gartner sagt voraus, dass sich bis 2022 API-Angriffe zu den meist durchgeführten Angriffen entwickeln. ¹

Ein durchschnittliches Unternehmen verwaltet etwa 360 APIs. API Sicherheit ist daher ein wichtiger Risikofaktor. ²

Penetrationstest von
API-Schnittstellen

Unser Vorgehen

Moderne Anwendungen werden stets komplexer und durch die verschiedensten API-Schnittstellen erweitert, um Daten und Inhalte von überall abrufen bzw. erzeugen zu können. APIs sind folglich ein kritischer Bestandteil moderner Mobil-, SaaS- und Webanwendungen und können in den unterschiedlichsten Bereichen wie dem Bankwesen, Einzelhandel oder Internet of Things (IoT) vorgefunden werden. Die Wichtigkeit der Bereitstellung einer konsequenten Anwendungssicherheit nimmt stetig zu, da APIs oftmals das Ziel von Hackerangriffen werden. Hierbei wird versucht, sensitive Daten wie Passwörter oder personenbezogene Daten zu stehlen.

Mit der Beauftragung eines API Penetrationstests unterziehen wir die mit Ihnen im Projektumfang definierten API-Schnittstellen (z.B. SOAP oder REST) einer umfassenden Sicherheitsanalyse auf Netzwerk- und Anwendungsebene. Anhand der OWASP API Security Top 10 überprüfen wir Ihre API-Schnittstelle auf bekannte Schwachstellen und helfen Ihnen dabei, Ihre API vor unbefugten Zugriffen zu schützen.

Unsere Tests auf Netzwerkebene beinhalten einen automatisierten Schwachstellenscan sowie eine manuelle Analyse aller von der API bereitgestellten Netzwerkdienste aus der Perspektive eines externen Angreifers (black-box). Die Tests auf Anwendungsebene werden hingegen mit einem semi-manuellen Ansatz sowie ohne gültige Nutzerzugangsdaten (grey-box) durchgeführt.

API-Schnittstellen

Alle zu untersuchenden API-Schnittstellen werden selbstverständlich im Vorfeld mit Ihnen abgestimmt. Bei der anschließenden Sicherheitsanalyse kommen bspw. konkret Tests der Authentifizierungsverfahren, des Datenmodells oder eine Prüfung auf schwache Kryptographie zum Einsatz. Bei Interesse fragen Sie uns gerne an oder erstellen Sie sich ein unverbindliches Angebot über unseren Konfigurator.

Testarten

Black-Box

Test als externer Angreifer ohne Zusatzinformationen

Grey-Box

Test mit validen Zugangsdaten

White-Box

Test mit Zugangsdaten und Einsicht in den Quellcode

Standards und Qualifikationen

Wir berücksichtigen bei unseren Pentests alle internationalen und anerkannten Standards.

Unsere Penetrationstester sind hochqualifiziert und besitzen eine Vielzahl anerkannter Hacking-Zertifikate.