Was wir in Java-Projekten prüfen
Spring Security, Actuator-Endpoints, Jackson-Deserialization, JPA-Security und Custom-Authorization-Logic.
Deserialization-RCE, Path-Traversal-Issues, XXE-Attacks, JNDI-Injection und Log4Shell-ähnliche Exploits.
Tomcat, WildFly, WebLogic-Misconfigurations, JMX-Exposures und Servlet-Security.
Java ist die führende Enterprise-Programmiersprache und powert kritische Backend-Systeme in Banken, Versicherungen, Government und Fortune-500-Unternehmen. Diese massive Verbreitung im High-Security-Segment macht Java zu einem bevorzugten Ziel: Deserialization-RCE, Spring-Actuator-Exploits, Path-Traversal-Bypasses, XXE-Attacks und vulnerable Dependencies (Log4Shell) führen regelmäßig zu kritischen Schwachstellen - von Data-Breaches über Server-Takeovers bis zu Full-Infrastructure-Compromise.
Java Deserialization & RCE Unsichere Deserialization via ObjectInputStream, vulnerable Libraries (Apache Commons Collections, Jackson) und JNDI-Injection-Attacks - Java-Deserialization ist der kritischste RCE-Vektor im Java-Ecosystem.
Spring Boot Actuator & Info-Disclosure Exponierte Actuator-Endpoints (/heapdump, /env, /mappings) verraten Infrastructure-Details, Credentials und ermöglichen SSRF/RCE - Spring Boot-Misconfigurations sind der Klassiker.
Log4Shell & Vulnerable Dependencies Log4Shell (CVE-2021-44228) war nur der Anfang - der massive Dependency-Tree von Java-Projekten (Maven/Gradle) ist anfällig für Known-CVEs. OWASP Dependency-Check findet nur einen Bruchteil.
Wir liefern priorisierte Ergebnisse mit PoC-Code, konkrete Fix-Vorschläge für Ihr Dev-Team und - falls gewünscht - Management-Zusammenfassungen für Stakeholder und Compliance-Audits.
Ein Penetrationstest für eine Java-Anwendung kann je nach Umfang und Komplexität der Anwendung variieren. Ein einfacher Test kann bereits ab 5.000 € durchgeführt werden. Bei größeren Anwendungen oder Anwendungen mit hohem Schutzbedarf kann der Preis auch bei 20.000 € oder mehr liegen. Der Preis hängt auch davon ab, ob es sich um eine Webanwendung, eine mobile Anwendung oder eine Desktopanwendung handelt.
{{ question.description }}
{{ addon.description }}
Hinterlassen Sie uns Ihre Kontaktdaten, damit wir Ihnen ein unverbindliches, maßgeschneidertes Angebot zusenden können.
Ihre Daten werden vertraulich behandelt und nicht an Dritte weitergegeben.
In der Vergangenheit haben wir sowohl aus softwaretechnischer als auch aus sicherheitstechnischer oft mit Java-Anwendungen zu tun gehabt. Im Rahmen von Bug Bounty Programmen kommen diese sehr häufig vor.
Unser Bericht befähigt Ihre Mitarbeiter zu verstehen, was das eigentliche Problem ist und wie man es am besten löst - das bezieht sich nicht nur auf Sicherheitslücken, sondern Problemzonen allgemein.
Wir arbeiten nicht einfach nur die OWASP Top 10 ab - hacken ist ein kreativer Prozess, wir nutzen diesen Umstand, um Dinge zu entdecken, die andere nicht finden würden, weil sie nur einen Prozess abarbeiten.
Schützen Sie Ihr Unternehmen durch gezielte Tests, die potentielle Sicherheitsrisiken minimieren und Ihre IT-Infrastruktur absichern. Blackhats und Cyberkriminelle lassen in der Regel nicht lange auf sich warten und nutzen jede Schwäche aus.
Wir passen unsere Kommunikation an Ihre Bedürfnisse an, sei es durch regelmäßige Updates, ausführliche Besprechungen oder verständliche Erklärungen. Hierbei ist egal, ob per WhatsApp, Signal oder Slack. Sie entscheiden!
Setzen Sie auf eine langfristige Zusammenarbeit, die nicht nur einmalige Tests, sondern kontinuierliche Sicherheitsoptimierungen und Unterstützung bietet. Wir können jede Perspektive einnehmen und sind Ihr Partner in Sachen Sicherheit.
Java-Pentests decken ein breites Spektrum an Schwachstellen auf - von Deserialization-RCE über Spring-Actuator-Exploits bis zu XXE-Attacks, Path-Traversal-Issues und OWASP Top 10.
Unsichere Deserialization via ObjectInputStream, Gadget-Chains (Apache Commons Collections, Spring), JNDI-Injection-Attacks und vulnerable Jackson-Configurations führen zu Remote Code Execution.
Exponierte Actuator-Endpoints (/heapdump, /env, /mappings, /jolokia) verraten Credentials, ermöglichen SSRF-Attacks und können zu RCE führen - Spring Boot-Misconfigurations sind kritisch.
Path-Traversal via File-APIs, URL-Decoding-Bypasses, Unicode-Normalization-Issues und Null-Byte-Injection - Java ist besonders anfällig für Normalization-Bypasses.
XML-External-Entity-Attacks in XML-Parsern (DocumentBuilder, SAXParser), SOAP-Service-Exploits und DTD-Processing-Issues - Java-XML-Processing ist anfällig für XXE.
Log4Shell (CVE-2021-44228) ist nur die Spitze des Eisbergs - vulnerable Maven/Gradle-Dependencies (Struts, Jackson, Spring) führen regelmäßig zu Known-CVE-Exploits mit RCE-Impact.
Fehlkonfigurierte Security-Chains, Custom-AuthenticationProvider-Bypasses, Method-Security-Issues (@PreAuthorize-Bypasses) und JWT-Vulnerabilities in Spring-Boot-Apps.
Der Preis hängt von der Komplexität ab - einfache Spring-Boot-APIs vs. Enterprise-Monolithen mit komplexen Application-Servern, Custom-Security-Logic und umfangreichen Maven-Dependencies.
Für einfache Spring Boot REST-APIs
Für Enterprise-Monolithen & kritische Backends
Unser Mini Pentest für Java testet Deserialisierungs-Exploits, XML External Entity (XXE), unsichere JVM-Configurations und Authentication-Bypasses. Perfekt für Enterprise-Java-Apps oder Legacy-Systeme vor Major-Updates.
Fokussierte Prüfung der kritischsten Schwachstellen
Transparenter Festpreis - keine versteckten Kosten
Schnelles, umsetzbares Reporting als Ticket-Liste
Beliebte Erweiterungen:
Große Teile des Internets basieren auf Websites und Webapplikationen.
Moderne Webseiten und SPA kommunizieren in aller Regel mit irgendeiner Art von API.
Vollautomatisierte Schwachstellenscans für Ihre IT-Infrastruktur oder Applikation.
Wir hatten das Privileg, mit einigen der weltweit führenden Unternehmen zusammenzuarbeiten und ihre IT-Sicherheit zu stärken.
Schon das Kickoff Meeting ist sehr wichtig, um herauszufinden, was der Kunde wünscht und was ihn antreibt. Wir analysieren alle Informationen, die uns zur Verfügung gestellt werden, stellen ein entsprechendes Team zusammen und planen den Test detailliert.
Kickoff-Meeting, Scoping, Informationsbeschaffung, Durchführung des eigentlichen Tests, Berichterstattung sowie finales Meeting. Das ist das klassische Vorgehen eines Penetrationstests.
Die meisten Java-Anwendungen können sehr gut innerhalb von maximal 2 Wochen getestet werden. Letzten Endes hängt es aber von der Größe und Komplexität der Anwendung ab.
Selbstverständlich - außer sie wollen Geld sparen und ihnen reicht eine detaillierte Liste aller Funde samt POC.
Konfigurationsprobleme, Injections, XSS, Path Traversals, IDOR - im Grunde ist alles vorhanden, was in den OWASP Top 10 definiert wurde.
Ja, Datenschutz ist uns wichtig. Und am besten haben wir gar keinen Zugriff auf relevante Daten. Das bedeutet, bei der Vorbereitung auf so einen Test kann man Probleme dieser Art ausschließen.
Auch das sollte möglich sein - es kommt darauf an, wie diese Anpassungen aussehen und ob sie in den Rahmen des Tests passen.
Wir sind kreativ. Unser Team besteht aus Menschen, die täglich Großkonzerne hacken - freiwillig. Wir haben einen großen Erfahrungsschatz mit komplexen Angriffsszenarien und wissen genau, wie wir vorgehen müssen, um Schutzmechanismen zu umgehen. Für uns ist ein Pentest immer ein manueller Prozess, der durch Tools unterstützt wird.
Haben Sie Fragen zu unseren Dienstleistungen? Wir beraten Sie gerne und erstellen Ihnen ein individuelles Angebot.
Wir melden uns innerhalb von 24 Stunden bei Ihnen
Ihre Daten werden vertraulich behandelt
Direkter Kontakt zu unseren Experten
