SaaS Penetrationstest

Sichern Sie Ihre SaaS-Plattform mit einem maßgeschneiderten SaaS Penetrationstest von DSecured: Profis für höchste Sicherheit und Klarheit in der Berichterstattung. Vertrauen Sie auf unsere renommierten ethischen Hacker und vermeiden Sie False Positives!

Unsere kreativen Penetrationstester identifizieren präzise und verlässliche Schwachstellen, die Ihr internes IT-Team sofort nachvollziehen und beheben kann. Maximieren Sie Ihre Sicherheit durch unsere detaillierten Berichte und gewinnen Sie das Vertrauen Ihrer Kunden.

Penetrationstests

Was ist ein SaaS Penetrationstest?

Meist ist ein SaaS Pentest eine Kombination aus regulärem Webanwendungs-Pentest und einem API-Pentest. SaaS (kurz für Software as a service) sind oft relativ komplexe Plattformen, nicht selten mit mehr als 3 Nutzergruppen, Multi Tenancy und einer Fülle komplexer Funktionen. Die erhöhte Softwarekomplexität sorgt oft dafür, dass sich Sicherheitslücken einschleichen. Ein weiterer Grund hierfür ist außerdem, dass an dieser Art von Projekten, ganze Entwickler Teams arbeiten. Ein SaaS Pentest ist darauf ausgelegt die Plattform ausgiebig zu testen. Hierbei werden alle Nutzerrollen und Tenants einzeln getestet. Auch die Kommunikation zwischen den einzelnen Komponenten wird auf Herz und Niere geprüft.

Eine weitere Herausforderung für Betreiber von SaaS-Anwendungen ist das Thema Compliance. Ein Penetrationstest hilft die Anforderungen an beispielsweise ISO 27001 oder SOC2 sowie branchenspezifische Standards zu erfüllen.

SaaS Pentest: Reale Angriffsszenarien

Bei unseren SaaS Penetrationstests achten wir darauf möglichst nahe an echten Angriffsszenarien zu sein. Wir versetzen uns in die Rolle eines Hackers, der entsprechende Zugänge erlangen kann und versuchen primär von dort aus unsere Rechte zu erweitern, auf Daten anderer Nutzer und Tenants zuzugreifen und/oder den Server zu übernehmen und anschließend das als Ausgangspunkt für Angriffe auf das interne Netzwerk zu nutzen.

SaaS Pentest: Automatisches Pentest sinnvoll?

Automatische Methoden sind eigentlich immer Teil von Penetrationstests. Klar ist aber ein richtiger Penetrationstest ist immer ein manueller Test - durchgeführt von einem Pentest-Anbieter mit Erfahrung. Speziell bei SaaS Plattformen sorgt die Komplexität dieser Plattformen dafür, dass automatische Tools sehr schnell nicht mehr klarkommen. Sie sind außerdem nicht in der Lage innerhalb der Komplexität klare sicherheitsrelevante Zusammenhänge zu erkennen. Auch das automatisierte Testen von Authentifizierung und Autorisierung ist oft nicht möglich. Ein automatischer Test kann also nur eine Ergänzung sein, niemals ein Ersatz für einen manuellen Test.

Damian Strobel

"DSecured betreibt selbst zwei SaaS-Plattformen - wir wissen aus Erfahrung, wie interessant so etwas Hacker und Konkurrenz ist."

Damian Strobel - Gründer von DSecured

Wollen Sie wissen, ob Ihre SaaS-Plattform wirklich sicher ist?

Wie viel kostet ein SaaS-Penetrationstest?

Bei SaaS-Plattformen handelt es sich oft um sehr komplexe Softwareprodukte. Die Kosten für einen variieren ganz stark und u.a. von folgenden Punkten abhängig:

  • - Anzahl der Nutzerrollen
  • - Komplexität der Plattform
  • - Anzahl der Tenants
  • - Anzahl und Art der Schnittstellen

Ein SaaS-Penetrationstest ist daher oft teurer als ein normaler Webanwendungs-Penetrationstest.

Es ist durchaus realistisch mit Kosten ab 7.500 Euro zu rechnen. Die Kosten können aber auch schnell in den Bereich 20.000 Euro und mehr gehen.

Einen deutlich besseren Wert für die Kosten können wir gerne im Rahmen einer kostenlosen Erstberatung nennen.

XXXXXX

Kontaktieren Sie uns noch heute, um Ihre SaaS-Plattform zu schützen!

Fokusbereiche beim SaaS Penetrationstest

Red Teaming

Aus Tester-Perspektive ist es wichtig erst einmal die SaaS Plattform zu verstehen. Das beginnt oft mit der offiziellen Dokumentation der API. Wir studieren alle Dokumente bevor wir uns an den eigentlichen Test machen. Für einen effizienten SaaS Pentest ist es wichtig zu verstehen, wie viele Nutzergruppen es gibt und wie sich diese unterscheiden. Das gleiche findet oft auf Tenant- und/oder Admin-Level statt. Wir versuchen herauszufinden - Fall eines Blackbox SaaS-Pentest - wie die Architektur hinter dem System ist und ob es theoretisch möglich ist aus einem normalen Nutzer einen Administrator eines anderen Tenants zu machen.

Red Teaming

Anschließend wird strukturiert nach klassischen Sicherheitslücken (u.a. Owasp Top 10) gesucht - dies passiert manuell sowie automatisiert aus Perspektive eines Gastes sowie jeder verfügbaren Nutzergruppe. Sicherheitslücken und Schwachstellen werden dokumentiert und bewertet. In der Regel versuchen wir nicht so kritische Sicherheitslücken so zu kombinieren, dass wir schweren Impact nachweisen können. Beispiele hierfür sind z.B. XSS, Open Redirects und CSRF-Probleme.

Die meisten SaaS-Plattformen, die wir zu sehen bekommen, werden auf Basis von Laravel, Django oder .Net gebaut - das haben wir im Hinterkopf und prüfen Framework/Sprachspezifische Probleme ebenfalls.

Einige Unternehmen, denen wir bisher helfen konnten

Grab
PayPal
BMW
Goldman Sachs
Starbucks
ATT
TikTok
Hilton
Kontaktieren Sie DSecured

SaaS Pentest anfragen