PHP Penetrationstest

Schützen Sie Ihre Unternehmenswebsites: Profitieren Sie von DSecureds langjähriger Erfahrung im PHP Penetrationstest und erhalten Sie detaillierte Berichte, die Ihre Sicherheitslücken umfassend aufdecken.

Unsere bewährten Methoden unterstützen Ihr IT-Team bei der effektiven Behebung von Schwachstellen und bieten Ihnen die nötige Sicherheit für Ihre sensiblen Daten. Vertrauen Sie auf die Zufriedenheit einer Vielzahl an Großkunden und verstärken Sie Ihre Cybersicherheit mit unseren Expertendienstleistungen.

Penetrationstests

Wer sollte einen PHP-Penetrationstest durchführen?

Die Zielgruppe für einen PHP Pentest ist jeder, der eine PHP-Anwendung entwickelt oder betreibt - speziell, wenn diese Anwendung beispielsweise Nutzerdaten verarbeitet oder gar im Bereich Versicherung oder Finanzen anzusiedeln ist. Je nach Branche und Anwendungsbereich können auch rechtliche Anforderungen dafür sorgen, dass ein PHP-Penetrationstest absolut notwendig ist.

Wenn Sie auf dieser Seite sind, wissen Sie vermutlich schon, dass Sie einen Pentest brauchen und ihre PHP-Sicherheit verbessern wollen. Allgemein sollte man sich anschauen, welche Daten in der eigenen Anwendung zu finden sind und feststellen, ob diese Daten für Angreifer interessant sein könnten. Auch die Frage, was man machen würde, wenn der Worst Case eintritt, beantwortet oft, ob man in IT-Sicherheit investieren sollte.

Wie viel kostet ein PHP-Penetrationstest?

Das hängt stark von Kompexität der Software und dem Scope ab. Kleinere PHP-Webanwendungen können problemlos ab 2.500 Euro getestet werden. Es gibt diverse Faktoren, die die Kosten nach oben aber auch stark nach unten treiben können. Wenn beispielsweise auf einen umfangreichen Testbericht verzichtet werden kann, lassen sich 15-20% sparen. Das optimale Vorgehen ist: Angebote einholen. Ohne konkret zu wissen, um was für eine PHP-Anwendung es sich handelt, kann niemand wirklich konkrete Kosten für so einen Pentest nennen.

Kleines Budget? Das ist kein Problem. Lassen Sie uns reden und den Scope so definieren, dass es Sinn macht und die Sicherheit Ihrer Anwendung signifikant verbessert wird. Eigentlich bekommen wir immer eine gute Lösung hin! Fragen kostet nichts!

Damian Strobel

"PHP hat einen schlechten Ruf - ich finde zu unrecht. PHP ist eine tolle Sprache, die nicht mehr wegzudenken ist. Egal, wie oft sie für tot erklärt wird."

Damian Strobel - Gründer von DSecured

PHP-Anwendungen haben oft viele Sicherheitslücken, lassen Sie uns alles finden und beheben.

PHP-Pentest: Fokus auf Web-Frameworks - auch für API

Ein PHP-Penetrationstest ist im Grunde ein Web-Penetrationstest, der sich auf PHP-Anwendungen fokussiert. Um ehrlich zu sein, sehen wir im Jahr 2024 keine reinen PHP-Anwendungen. Vielmehr sind Webframeworks viel verbreiteter - zum Glück. Denn Webframeworks wie Laravel oder Symfony verhindern viele Sicherheitslücken, die in reinen PHP-Anwendungen auftreten können. Zwar darf man nie etwas ausschließen, aber eine SQL-Injection ist in einer Laravel-Anwendung deutlich schwerer zu finden als in einer reinen PHP-Anwendung.

Sogar im Bereich API-Entwicklung wird mittlerweile auf Webframeworks gesetzt. Primärer Grund ist, weil es viele Entwickler gibt und Themen wie Routing, Authentifizierung und Validierung bereits abgedeckt sind. Man muss das Rad nicht neu erfinden, das spart Zeit und damit Geld. DSecureds Fokus, wenn es um Frameworks geht, liegt klar auf Laravel und Symfony. Die Themenseiten findet man im Folgenden:

Laravel Pentest Symfony Pentest

Wenn es um das Thema PHP geht, kommt man meist auch nicht um das Thema CMS rum. Bei CMS-Penetrationstests liegt der Fokus eher auf kleinen Komponenten, die z.B. von Freelancern oder Agenturen entwickelt wurden. Hierzu empfehlen wir unsere Schwerpunkte:

# WordPress Pentest # Typo3 Pentest # Drupal Pentest
PHP Pentest

Es wäre schade, wenn Hacker Ihre PHP-Anwendung hacken, Daten klauen und Schaden anrichten. Wir können kostengünstig helfen!

PHP-Sicherheitslücken: Was wir finden könnten

Red Teaming

Schweregrad: Niedrig/Mittel

Klassische Funde mit niedrigem Schweregrad sind z.B. fehlende Sicherheitsheader oder die Möglichkeit Loginnamen zu enumerieren. Wenn es um den Schweregrad "mittel" geht, dann sind das z.B. fehlende CSRF-Token. Wichtig ist aber auch immer zu sagen, dass der Kontext wahnsinnig wichtig ist. Diese Funde können schnell zu großen Probleme werden.

Red Teaming

Schweregrad: Hoch

Der hohe Schweregrad ist meistens mit einer hohen Auswirkung verbunden. Das Lesen von Dateien des Dateisystems (File Inclusions, Path Traversals) wäre so ein Beispiel. Auch das Auslesen von Datenbankinhalten (SQL Injection), könnte in diese Kategorie fallen. Auch hier ist Kontext wichtig, eine SQL-Injection kann ganz schnell kritisch werden.

Red Teaming

Schweregrad: Kritisch

Kann man eigenen Code ausführen? Das wäre ein Beispiel für eine kritische Sicherheitslücke. Code Injection ist die Kategorie, vor der sich alle Sorgen machen. Ein Angreifer kann eigenen Code auf dem Server ausführen und damit oft den gesamten Server übernehmen. Er hat volle Kontrolle. In diese Kategorie fallen auch Schwachstellen, wie Deserialisierung (im Fall von PHP via unserialize).

PHP Penetrationstest: Blackbox oder Whitebox Test

Die absolute Mehrheit unsere PHP-Penetrationstests - speziell, wenn die Webanwendung komplexer ist - sind Blackbox-Tests. Das bedeutet, dass wir die Anwendung nicht kennen und uns wie ein Angreifer verhalten müssen. Oft ist es sogar so, dass wir nur wissen, dass es sich um eine PHP-Anwendung handelt. Der Vorteil hier ist, dass es ein recht realistisches Bild der Sicherheit der Anwendung gibt.

Das absolute Gegenteil ist im Grunde eine Analyse des Quellcodes. Das ist ein Whitebox-Test. Das wird seltener gefordert - primär, weil die Kosten oft deutlich höher als bei einem Blackbox-Pentest sind. Allerdings ist es so, dass DSecured einige Mitarbeiter hat, die sowohl PHP-Entwickler als auch Penetrationstester sind - und das seit Jahren. Ein Whitebox-Test würde hier zwar teurer sein, aber mehr Ergebnisse hervorbringen.

Blackbox vs Greybox vs Whitebox - ein Vergleich

Einige Unternehmen, denen wir bisher helfen konnten

Grab
PayPal
BMW
Goldman Sachs
Starbucks
ATT
TikTok
Hilton
Kontaktieren Sie DSecured

PHP Penetrationstest anfragen