PHP Sicherheitscheck
Für einfache Web-Apps & CMS-Installationen
- OWASP Top 10 Testing (SQLi, XSS, CSRF)
- File-Upload & Path-Traversal-Testing
- Authentication & Authorization Review
- Composer Audit & Dependency-Scan
- Schnelles Ticket-basiertes Reporting
Unsere bewährten Methoden unterstützen Ihr IT-Team bei der effektiven Behebung von Schwachstellen und bieten Ihnen die nötige Sicherheit für Ihre sensiblen Daten. Vertrauen Sie auf die Zufriedenheit einer Vielzahl an Großkunden und verstärken Sie Ihre Cybersicherheit mit unseren Expertendienstleistungen.
Was wir in PHP-Projekten prüfen
Framework-spezifische Security-Features, ORM-Misuse, Template-Engines und Custom Code auf Framework-typische Vulnerabilities.
SQL-Injections, File-Inclusion-Vulnerabilities, Deserialization-Issues und unsichere Input-Validierung in Custom-Code.
WordPress, Drupal, TYPO3-Installationen, Custom Plugins/Themes und Third-Party-Components auf bekannte und Zero-Day-Vulnerabilities.
PHP ist die meistgenutzte Server-Side-Sprache im Web und powert Millionen von Websites - von WordPress-Blogs über Laravel-SaaS-Plattformen bis zu Enterprise-Symfony-Apps. Doch diese massive Verbreitung macht PHP zu einem bevorzugten Ziel: SQL-Injections in Legacy-Code, Deserialization-RCE via unserialize(), File-Upload-Bypasses und vulnerable Composer-Packages führen regelmäßig zu kritischen Schwachstellen - von Database-Dumps über Server-Takeovers bis zu Full-Infrastructure-Compromise.
Legacy-Code & SQL-Injections Trotz moderner Frameworks existiert massiv Legacy-PHP-Code mit direkten SQL-Queries, unsicherer Input-Sanitization und fehlender Prepared-Statement-Usage - SQL-Injection ist weiterhin der Klassiker.
Deserialization & File-Upload-RCE unserialize() mit User-Input führt zu RCE, File-Upload-Bypasses via Double-Extensions (.php.jpg) und Path-Traversal-Vulnerabilities sind PHP-spezifische Risiken mit kritischem Impact.
CMS-Ecosystem & Vulnerable Packages WordPress-Plugins, Drupal-Modules, TYPO3-Extensions und vulnerable Composer-Packages (Known-CVEs) sind ein massives Risiko - der PHP-Ecosystem ist riesig, aber nicht immer sicher.
Wir liefern priorisierte Ergebnisse mit PoC-Code, konkrete Fix-Vorschläge für Ihr Dev-Team und - falls gewünscht - Management-Zusammenfassungen für Stakeholder und Compliance-Audits.
{{ question.description }}
{{ addon.description }}
Hinterlassen Sie uns Ihre Kontaktdaten, damit wir Ihnen ein unverbindliches, maßgeschneidertes Angebot zusenden können.
Ihre Daten werden vertraulich behandelt und nicht an Dritte weitergegeben.
Große Teile des Internets basieren auf Websites und Webapplikationen.
Moderne Webseiten und SPA kommunizieren in aller Regel mit irgendeiner Art von API.
Vollautomatisierte Schwachstellenscans für Ihre IT-Infrastruktur oder Applikation.
Moderne PHP-Entwicklung setzt auf etablierte Frameworks und CMS-Systeme - von Laravel/Symfony für Custom-Apps bis zu WordPress/Drupal für Content-Management. Unser Pentest-Fokus liegt auf Framework-spezifischen Schwachstellen und Custom-Code-Security.
Laravel und Symfony sind die dominanten PHP-Frameworks für Enterprise-Webanwendungen, SaaS-Plattformen und REST-APIs. Sie bieten solide Security-Defaults, aber Custom-Code, Authorization-Logic und Framework-Misuse führen regelmäßig zu kritischen Vulnerabilities.
WordPress, Drupal und TYPO3 dominieren das CMS-Segment. Unser Fokus liegt auf Custom-Plugins, Themes und Custom-Post-Types - hier entstehen die meisten Sicherheitslücken durch fehlende Input-Validation, SQL-Injections und Authorization-Bypasses.
Custom-Plugins, Theme-Security, REST-API-Endpunkte, Gutenberg-Blocks, WooCommerce-Extensions
Mehr erfahrenCustom-Modules, Views-Security, Access-Control-Bypasses, Drupal-Commerce, Configuration-Management
Mehr erfahrenExtbase/Fluid-Extensions, Backend-Module, TypoScript-Security, Custom-ViewHelpers, Frontend-Plugins
Mehr erfahrenFramework-Security ist komplex: Moderne PHP-Frameworks bieten solide Security-Defaults (CSRF-Protection, XSS-Prevention, SQL-Injection-Prevention via ORMs), aber Custom-Code, Authorization-Logic und Framework-Misuse führen regelmäßig zu kritischen Schwachstellen. Unsere Pentester sind erfahrene PHP-Entwickler und kennen die typischen Fehlerquellen in Laravel, Symfony, WordPress, Drupal und TYPO3.
PHP-Pentests decken ein breites Spektrum an Schwachstellen auf - von SQL-Injections über Deserialization-RCE bis zu File-Upload-Bypasses, Framework-spezifischen Issues und OWASP Top 10.
SQL-Injections in Legacy-PHP-Code, unsichere PDO-Query-Usage, fehlende Prepared-Statements und ORM-Bypasses in Eloquent/Doctrine - trotz moderner Frameworks ist SQLi weiterhin kritisch.
unserialize() mit User-Input führt zu RCE, Phar-Deserialization-Attacks und Object-Injection-Vulnerabilities - PHP-Deserialization ist extrem gefährlich und häufig vorhanden.
File-Upload-Bypasses via Double-Extensions (.php.jpg), fehlende MIME-Type-Validation, Path-Traversal via $_FILES und unsichere move_uploaded_file()-Usage führen zu Webshell-Uploads.
LFI via include($_GET['page']), RFI-Attacks (wenn allow_url_include=On), Wrapper-Abuse (php://filter, php://input) und Directory-Traversal - PHP-File-Inclusions sind RCE-Risks.
Type-Juggling-Vulnerabilities (== vs ===), Session-Fixation, Weak-Password-Hashing (MD5/SHA1 statt bcrypt) und Authorization-Bypasses in Custom Auth-Logic - PHP-Loose-Comparisons sind gefährlich.
XSS via unescaped echo/print, fehlende CSRF-Protection, vulnerable Composer-Packages (Known-CVEs) und WordPress/Drupal-Plugin-Vulnerabilities - das PHP-Ecosystem ist riesig, aber nicht immer sicher.
Der Preis hängt von der Komplexität ab - Legacy-PHP-Apps vs. moderne Framework-Projekte (Laravel/Symfony) mit komplexer Business-Logic und umfangreichen Composer-Dependencies machen den Unterschied.
Für einfache Web-Apps & CMS-Installationen
Für Laravel/Symfony-Apps & Enterprise-Projekte
Die Wahl zwischen Blackbox und Whitebox hängt von Ihren Zielen ab - realistische Angreifer-Simulation vs. vollständige Code-Analyse. Beide Ansätze haben ihre Berechtigung, und oft ist eine Kombination optimal.
Realistische Angreifer-Perspektive
Wir testen Ihre PHP-Anwendung wie ein echter Angreifer - ohne Source-Code-Access, nur mit öffentlich verfügbaren Informationen. Die absolute Mehrheit unserer PHP-Pentests sind Blackbox-Tests.
Vollständige Code-Analyse
Vollständige Source-Code-Review kombiniert mit dynamischem Testing. Unsere Pentester sind erfahrene PHP-Entwickler (Laravel, Symfony) und kennen Framework-spezifische Schwachstellen aus jahrelanger Praxis.
Unsere Empfehlung: Greybox-Ansatz als Kompromiss - Blackbox-Testing kombiniert mit selektivem Source-Code-Access für kritische Bereiche (Authorization, Payment-Logic). So erhalten Sie realistische Angreifer-Simulation + gezielte Code-Review für kritische Components.
Unser Mini Pentest für PHP prüft Type Juggling, unsichere include()-Calls, Session-Fixation und Datei-Upload-Bypasses. Perfekt für Legacy-PHP-Apps oder Custom-CMS-Systeme, die schnellen Security-Baseline-Check benötigen.
Fokussierte Prüfung der kritischsten Schwachstellen
Transparenter Festpreis - keine versteckten Kosten
Schnelles, umsetzbares Reporting als Ticket-Liste
Beliebte Erweiterungen:
Wir hatten das Privileg, mit einigen der weltweit führenden Unternehmen zusammenzuarbeiten und ihre IT-Sicherheit zu stärken.
Ein durchschnittlicher PHP Penetrationstest wird normal in 1-3 Wochen abgeschlossen. Dies variiert jedoch je nach Komplexität und Umfang der zu testenden Systeme.
Der Fokus liegt hier meist auf Web-Sicherheitslücken: IDOR, SQL Injection, RCE, File Path Traversals und ähnliches. Business-Logic-Fehler und andere Schwachstellen können ebenfalls identifiziert werden.
Wir brauchen Zugang zu einer Demo-Version Ihrer Anwendung. Am besten mit realistischen Daten - das inkludiert natürlich auch Nutzer und Rollen. Dokumentationen und Architekturdiagramme sind ebenfalls hilfreich.
Wir sehen zu, dass wir ausschließlich auf Testumgebungen arbeiten. Diese sollten von Produktionsumgebungen getrennt sein.
Ein gewisser Teil sollte während des CI/CD Prozesses automatisiert durchgeführt werden. Ein guter Punkt, um Penetrationstests durchzuführen, ist nach der Implementierung und vor dem Go-Live.
Das Ergebnis ist immer ein finaler PDF-Bericht, der eine Zusammenfassung für die Führungsetage sowie einen technischen Teil enthält. Letzteres ist dazu gedacht, dass Ihr Entwicklerteam die gefundenen Schwachstellen beheben kann.
Meist haben wir es hier mit Webanwendungen zu tun. Der Webserver sowie die Datenbank spielen im Umfang eine entscheidende Rolle. Auch die Kommunikation zwischen den Systemen wird überprüft.
Ja, wir halten uns an anerkannte Industriestandards und Frameworks wie OWASP sowie dem IS-Pentest-Standard des BSI, um Ihnen eine methodische und gründliche Überprüfung zu bieten.
Die Häufigkeit sollte sich an Ihrem Entwicklungszyklus orientieren, aber in der Regel gewährleisten erneute Tests alle 12 Monate oder nach wesentlichen Änderungen eine gleichbleibende Sicherheit.
Haben Sie Fragen zu unseren Dienstleistungen? Wir beraten Sie gerne und erstellen Ihnen ein individuelles Angebot.
Wir melden uns innerhalb von 24 Stunden bei Ihnen
Ihre Daten werden vertraulich behandelt
Direkter Kontakt zu unseren Experten