Penetrationstests

Web-Anwendung Penetrationstest

Rigorose manuelle Angriffssimulation, die weit über die OWASP Top 10 hinausgeht. Wir identifizieren komplexe Business-Logik-Fehlerketten, Race Conditions und tief versteckte architektonische Schwachstellen.

Business-Logik-Fehler

// Aufdeckung mehrstufiger Workflow-Bypasses

Privilege Escalation

// horizontale und vertikale Zugriffsgrenzen-Tests

Session-Management-Bypasses

// Cookie-, JWT- und Token-Lebenszyklus-Exploitation

Deep Parameter Fuzzing

// automatisiertes und manuelles Parameter-Tampering

Mobile-Anwendung Penetrationstest

Tiefgehende iOS- und Android-Sicherheitsbewertung. Wir reverse-engineeren, instrumentieren und exploiten mobile Binaries von der Laufzeitumgebung bis zur Client-Server-Kommunikation.

  • Binary Reverse Engineering IDA/Ghidra

  • Unsichere lokale Speicherung Keychain/SP

  • Root-/Jailbreak-Erkennung-Bypass Frida

  • SSL-Pinning-Umgehung MITM

Target SDK iOS 17.x / Android 14
Environment Strixcs Lab 04
Status Active Analysis
ssh owl@strixcs:~/audit
owl@strixcs:~$

API-Penetrationstest

Systematische Bewertung von REST-, GraphQL- und gRPC-Endpunkten. Testen von Authentifizierungsflüssen, Rate-Limiting und Datenexposition über alle API-Oberflächen.

REST/GraphQL/gRPC
Auth-Flow-Bypass
BOLA/IDOR-Test
Rate-Limit-Umgehung
Mass Assignment

Cloud-Penetrationstest

Ausnutzung von Fehlkonfigurationen, überpermissiven IAM-Richtlinien und geleakten Zugangsdaten auf AWS, Azure und GCP. Wir simulieren vollständige Angriffsketten gegen Cloud-Infrastruktur.

Kritisch

IAM-Schlüssel-Leck

Ausnutzung exponierter Zugriffsschlüssel in Code-Repos und Logs

Hoch

Metadaten-Missbrauch

SSRF zum Instance-Metadaten-Service-Exploitation

Mittel

Laterale Bewegung

Pivotierung zwischen kompromittierten Cloud-Ressourcen

Info

Öffentlicher-Bucket-Scan

Entdeckung öffentlich exponierter Speicherressourcen

  • VLAN-Hopping-Exploits 802.1Q

  • Active-Directory-Angriffe Kerberos

  • Firewall-Regel-Bypasses Evasion

Netzwerk-Penetrationstest

Interne und externe Netzwerk-Penetrationstests. Wir simulieren laterale Bewegung, VLAN-Hopping, Active-Directory-Angriffe und Perimeter-Bypass-Techniken.

Red Team / Blue Team / Purple Team

Gezielte Adversary-Simulationen, ausgerichtet an realen Threat-Actor-Taktiken, -Techniken und -Prozeduren. Wir validieren Ihre Detection-and-Response-Fähigkeiten unter kontrolliertem Druck.

Red Team

// vollumfängliche Adversary-Emulation mit Stealth-Zielen

Blue Team

// defensive Fähigkeitsbewertung und Detection-Tuning

Purple Team

// kollaborative Angriff-Verteidigungs-Feedback-Loop-Optimierung

Social Engineering und Phishing

Bewertung der menschlichen Sicherheitsebene. Wir führen Phishing-Kampagnen, Vishing-Anrufe und physische Sicherheitsbewertungen durch, um das Sicherheitsbewusstsein der Mitarbeiter zu testen.

  • Spear-Phishing-Kampagnen Email

  • Vishing-Bewertungen Voice

  • USB-Drop-Angriffe Physical

Verwaltete Penetrationstest-Dienste

Kontinuierliche Penetrationstest-Engagements, die eine dauerhafte Sicherheitsvalidierung gewährleisten, während sich Ihre Anwendung weiterentwickelt und neue Funktionen veröffentlicht werden.

Kontinuierliches Testen

Retest-Zyklen

Prioritätswarteschlange

Dediziertes Team