Penetrationstests von ASP.NET-Anwendungen
Wir können Ihnen helfen alle Sicherheitslücken in Ihrer ASP.NET-Anwendung zu finden.
Sorgen Sie mit unseren ASP.NET Pentests dafür, dass Hacker keine Chance haben. Wir suchen Schwachstellen und bieten Ihnen detaillierte Berichte, die Ihr IT-Team umsetzen kann. Hierzu kombinieren wir manuelle und automatiesierte Tests sowie einzigartiges Know-How.
Wie sieht die Zielgruppe für einen ASP.NET Pentest aus?
Unserer Erfahrung nach hat man es im Bereich ASP.NET mit größeren Plattformen zu tun - meist Portale oder Software-as-a-Service-Plattformen. Diese sind in der Regel sehr komplex und benötigen daher eine umfassende Sicherheitsprüfung - spätestens, wenn die Menge an Daten (vor allem PII) steigt oder die Art der Daten für Hacker interessant sein könnte. In der Finanz- und Versicherungsbranche sehen wir ASP.NET-Anwendungen besonders häufig.
Was ist ein ASP.NET Penetrationstest?
In aller Regel ist das ein Penetrationstest einer (Web-)Anwendung, die mit Hilfe von ASP.NET entwickelt wurde. Unser Fokus liegt hierbei meist auf den OWASP Top 10, aber auch auf weiteren Sicherheitsaspekten, die speziell für ASP.NET relevant sind. Zu nennen wären hier vor allem Probleme rund um das Thema IDOR und Path Traversals. Beide sind in ASP.NET-Anwendungen häufig anzutreffen. Auch Konfigurationsfehler stehen hier im Fokus. Spannend wird es, wenn ASP.NET mit einem Frontend-Framework, wie Angular, kombiniert wird - dann tuen sich noch diverse andere Angriffsvektoren auf, die bei einem reinen ASP.NET-Anwendungen sehr selten vorkommen.
Wir untersuchen hier auch etwas näher den Microsoft IIS und dessen Konfigurationen. Interessant ist hier beispielsweise herauszufinden, ob Dateinamen enumeriert werden können. In dem Zusammenhang sieht man häufig geleakte Backup-Dateien (meist bin.zip), die den gesamten kompillierten Code der Anwendung enthalten. Aus diesen Dateien lassen sich dann sehr einfach Sicherheitslücken ableiten, wenn man sie dekompilliert und analysiert. Tools, wie DNSpy und Rider von JetBrains, sind hierbei sehr hilfreich.
"ASP.NET Anwendungen sind schon eher gut gesichert und nicht einfach zu hacken - da muss man kreativ werden."
Damian Strobel - Gründer von DSecured
Interessiert an einem ASP.NET Penetrationstest?
Warum DSecured den Pentest machen sollte?
Erfahrenes Team
Im Bug Bounty Hunting sehen wir sehr viele ASP.NET Anwendungen - und haben so einiges an Erfahrung hiermit sammeln können.
Herausragender Bericht
Unsere Berichte sind sehr detailliert und enthalten alle notwendigen Informationen, um die gefundenen Schwachstellen zu beheben.
Maximale Kreativität
Unser innovatives Team denkt immer einen Schritt voraus und findet auch die ausgefallensten Schwachstellen.
Effektive Risikominimierung
Schützen Sie Ihr Unternehmen vor finanziellen Schäden und Imageschäden durch eine umfassende Sicherheitsprüfung.
Maßgeschneiderte Kommunikation
Wir passen unsere Kommunikation an Ihre Bedürfnisse an, sei es durch regelmäßige Updates, ausführliche Besprechungen oder verständliche Erklärungen. Hierbei ist egal, ob per WhatsApp, Signal oder Slack. Sie entscheiden!
Langfristige Partnerschaft
Setzen Sie auf eine langfristige Zusammenarbeit und profitieren Sie von unserem Know-How und unserer Erfahrung.
Wie viel kostet ein ASP.NET Pentest?
Kurz - die Kosten variieren zwischen 5.000 und 25.000 Euro. Vorab lässt sich so etwas sehr schwer sagen. Die Komplexität der Anwendung spielt eine große Rolle - Funktionen, wie Multi Tenancy, eine ausgefeilte Rechteverwaltung oder eine komplexe Datenstruktur, können die Kosten schnell in die Höhe treiben. Auch die Größe der Anwendung ist ein Faktor - je mehr Routes und Parameter bzw. Quellcode, desto mehr Zeit sollte man einplanen, je mehr Zeit man einplanen muss, desto teurer wird es. Hinzu kommen weitere Faktoren, wie die Anzahl und Komplexität von Schnittstellen sowie Benutzerrollen. Die Prüfttiefe ist ebenfalls ein Faktor - ein Pentest kann sehr oberflächlich durchgeführt werden oder eben sehr tiefgehend. Wir eine ausführliche Dokumentation gewünscht? Auch das kostet Zeit und damit Geld.
Im Grunde ist es aber so: Rufen Sie uns an, lassen Sie uns quatschen und schauen, wie Ihr Budget ausschaut und was man damit effektiv machen kann und worauf man den Fokus setzen sollte.
Wir sollten uns mal Ihre ASP.NET Anwendung anschauen!
Pentest: Dienstleistungen
Einige Unternehmen, denen wir bisher helfen konnten
Weitere Fragen samt Antworten zum Thema
"ASP.NET Penetrationstest"
Wie lange dauert ein ASP.NET Penetrationstest?
Das ist primär von der Komplexität Ihrer ASP.NET Anwendung abhängig. Weitere Faktoren sind die Größe sowie Prüftiefe. In der Regel dauert ein Test zwischen 1-2 Wochen.
Welche Aspekte eines ASP.NET Penetrationstests deckt DSecured ab?
Wir decken alle relevanten Sicherheitsbereiche ab, einschließlich, aber nicht beschränkt auf, SQL-Injektionen, XSS und Authentifizierungsprobleme.
Erhalten wir einen Bericht nach einem ASP.NET Penetrationstest?
Na klar - wir schreiben einen umfassenden Bericht mit allen wichtigen Informationen, die es Ihnen erlauben alle Schwachsstellen zu beheben.
Wie bereitet sich unser Team auf einen Sicherheitstest für ASP.NET Anwendungen vor?
Es kommt auf die Zielsetzung an, aber ein guter Start ist schon mal die Überprüfung der Dokumentation und der Codequalität. Auch das Installieren einer geeigneten Testumgebung mit Demo-Daten kann hilfreich sein.
Welche Vorteile bietet ein maßgeschneiderter Pentest für unsere ASP.NET Umgebung?
Sie haben aktiv das Risiko gesenken, dass ein Hacker Ihre Daten stiehlt. Zudem können Sie sicher sein, dass Ihre Anwendung den geltenden Sicherheitsstandards entspricht.
Wie oft sollten Sicherheitstests für ASP.NET durchgeführt werden?
Meistens liest man "mindestens einmal im Jahr" - das ist als Richtwert zu verstehen. Sie sollten ein Gefühl dafür bekommen, wie oft Ihre Anwendung getestet werden sollte. Wenn es häufig große Änderungen gibt, sollten Sie auch öfter testen.
Angebot anfordern