Penetrationstests von SaaS-Anwendungen

Sichern Sie Ihre SaaS-Plattform mit einem maßgeschneiderten SaaS Penetrationstest von DSecured: Profis für höchste Sicherheit und Klarheit in der Berichterstattung. Vertrauen Sie auf unsere renommierten ethischen Hacker und vermeiden Sie False Positives!

Unsere kreativen Penetrationstester identifizieren präzise und verlässliche Schwachstellen, die Ihr internes IT-Team sofort nachvollziehen und beheben kann. Maximieren Sie Ihre Sicherheit durch unsere detaillierten Berichte und gewinnen Sie das Vertrauen Ihrer Kunden.

Damian Strobel

Damian Strobel

Gründer und CEO

"DSecured betreibt selbst zwei SaaS-Plattformen - wir wissen aus Erfahrung, wie interessant so etwas Hacker und Konkurrenz ist."

Was ist ein SaaS Penetrationstest?

Meist ist ein SaaS Pentest eine Kombination aus regulärem Webanwendungs-Pentest und einem API-Pentest. SaaS (kurz für Software as a service) sind oft relativ komplexe Plattformen, nicht selten mit mehr als 3 Nutzergruppen, Multi Tenancy und einer Fülle komplexer Funktionen. Die erhöhte Softwarekomplexität sorgt oft dafür, dass sich Sicherheitslücken einschleichen. Ein weiterer Grund hierfür ist außerdem, dass an dieser Art von Projekten, ganze Entwickler Teams arbeiten. Ein SaaS Pentest ist darauf ausgelegt die Plattform ausgiebig zu testen. Hierbei werden alle Nutzerrollen und Tenants einzeln getestet. Auch die Kommunikation zwischen den einzelnen Komponenten wird auf Herz und Niere geprüft.

Eine weitere Herausforderung für Betreiber von SaaS-Anwendungen ist das Thema Compliance. Ein Penetrationstest hilft die Anforderungen an beispielsweise ISO 27001 oder SOC2 sowie branchenspezifische Standards zu erfüllen.

SaaS Pentest: Reale Angriffsszenarien

Bei unseren SaaS Penetrationstests achten wir darauf möglichst nahe an echten Angriffsszenarien zu sein. Wir versetzen uns in die Rolle eines Hackers, der entsprechende Zugänge erlangen kann und versuchen primär von dort aus unsere Rechte zu erweitern, auf Daten anderer Nutzer und Tenants zuzugreifen und/oder den Server zu übernehmen und anschließend das als Ausgangspunkt für Angriffe auf das interne Netzwerk zu nutzen.

SaaS Pentest: Sind automatische Pentests sinnvoll?

Automatische Methoden sind eigentlich immer Teil von Penetrationstests. Klar ist aber ein richtiger Penetrationstest ist immer ein manueller Test - durchgeführt von einem Pentest-Anbieter mit Erfahrung. Speziell bei SaaS Plattformen sorgt die Komplexität dieser Plattformen dafür, dass automatische Tools sehr schnell nicht mehr klarkommen. Sie sind außerdem nicht in der Lage innerhalb der Komplexität klare sicherheitsrelevante Zusammenhänge zu erkennen. Auch das automatisierte Testen von Authentifizierung und Autorisierung ist oft nicht möglich. Ein automatischer Test kann also nur eine Ergänzung sein, niemals ein Ersatz für einen manuellen Test.

Wollen Sie wissen, ob Ihre SaaS-Plattform wirklich sicher ist?

Angebot anfordern

Interessantes zu SaaS-Penetrationstests

Wie viel kostet ein Penetrationstest?

Kosten zu nennen ist schwierig, da jeder Test individuell ist - aber wir finden immer eine Lösung, die zu jedem Budget passt.

Wie oft sollte man einen Penetrationstest durchführen lassen?

Die Häufigkeit eines Pentests hängt von verschiedenen Faktoren ab - wir geben Ihnen eine Übersicht.

Welche Arten von Penetrationstests gibt es?

Das Wort Penetrationstest ist ein sehr allgemeines Wort und kann diverse Arten von Tests beschreiben. Eine Übersicht gibt es hier.

Wie läuft ein Penetrationstest in der Regel ab?

Der Ablauf eines Pentests ist in der Regel immer gleich - je nach Art des Tests unterscheiden sich die Schritte jedoch.

Pentest: Dienstleistungen

Web Application Penetrationstest

Große Teile des Internets basieren auf Websites und Webapplikationen.

API Penetrationstest

Moderne Webseiten und SPA kommunizieren in aller Regel mit irgendeiner Art von API.

Schwachstellenscans

Vollautomatisierte Schwachstellenscans für Ihre IT-Infrastruktur oder Applikation.

Wie viel kostet ein SaaS-Penetrationstest?

Bei SaaS-Plattformen handelt es sich oft um sehr komplexe Softwareprodukte. Die Kosten für einen variieren ganz stark und u.a. von folgenden Punkten abhängig:

  • - Anzahl der Nutzerrollen
  • - Komplexität der Plattform
  • - Anzahl der Tenants
  • - Anzahl und Art der Schnittstellen

Ein SaaS-Penetrationstest ist daher oft teurer als ein normaler Penetrationstest.

Es ist durchaus realistisch mit Kosten ab 7.500 Euro zu rechnen. Die Kosten können aber auch schnell in den Bereich 20.000 Euro und mehr gehen.

Einen deutlich besseren Wert für die Kosten können wir gerne im Rahmen einer kostenlosen Erstberatung nennen.

SaaS Pentest

Kontaktieren Sie uns noch heute, um Ihre SaaS-Plattform zu schützen!

Angebot anfordern

Fokusbereiche beim SaaS Penetrationstest

Aus Tester-Perspektive ist es wichtig erst einmal die SaaS Plattform zu verstehen. Das beginnt oft mit der offiziellen Dokumentation der API. Wir studieren alle Dokumente bevor wir uns an den eigentlichen Test machen. Für einen effizienten SaaS Pentest ist es wichtig zu verstehen, wie viele Nutzergruppen es gibt und wie sich diese unterscheiden. Das gleiche findet oft auf Tenant- und/oder Admin-Level statt. Wir versuchen herauszufinden - Fall eines Blackbox SaaS-Pentest - wie die Architektur hinter dem System ist und ob es theoretisch möglich ist aus einem normalen Nutzer einen Administrator eines anderen Tenants zu machen.

Anschließend wird strukturiert nach klassischen Sicherheitslücken (u.a. Owasp Top 10) gesucht - dies passiert manuell sowie automatisiert aus Perspektive eines Gastes sowie jeder verfügbaren Nutzergruppe. Sicherheitslücken und Schwachstellen werden dokumentiert und bewertet. In der Regel versuchen wir nicht so kritische Sicherheitslücken so zu kombinieren, dass wir schweren Impact nachweisen können. Beispiele hierfür sind z.B. XSS, Open Redirects und CSRF-Probleme.

Die meisten SaaS-Plattformen, die wir zu sehen bekommen, werden auf Basis von Laravel, Django oder .Net gebaut - das haben wir im Hinterkopf und prüfen Framework/Sprachspezifische Probleme ebenfalls.

Einige Unternehmen, denen wir bisher helfen konnten

Grab
PayPal
BMW
Goldman Sachs
Starbucks
ATT
TikTok
Hilton

Weitere Fragen samt Antworten zum Thema
"SaaS Penetrationstest"

Welche Probleme findet man während eines SaaS Pentests?

Im Allgemeinen sieht man alle Sicherheitslücken, die bei einem Web-Pentests vorkommen - maßgeblich ist hier eher, welches bzw. ob ein Framework verwendet wurde. SQL Injections und Code Injections sind recht selten, kommen aber immer wieder vor. Viel häufiger gibt es Probleme mit Nutzerrechten und IDORs.

Welche Möglichkeit gibt es, zu verhindern, dass unsere Prod-Umgebung nicht beeinträchtigt wird?

Ganz einfach: Das gesamte System wird auf einem Test-Server gespiegelt. Dort kann es ohne Gefahr ausgiebig getestet werden. Noch besser: Es werden Demo-Daten verwendet, so hat der Tester kein Zugang zu echten sensiblen Daten.

Wir wollen nur eine bestimmte Komponente unsere SaaS testen - geht das?

Natürlich. So etwas kann man während des Scoping besprechen.

Wie lange dauert in der Regel ein vollständiger SaaS Penetrationstest?

SaaS können sehr klein aber auch wahnsinnig groß und komplex sein. Entsprechend kann ein Test 3-4 Tage dauern - oder auch mal 2-3 Wochen. Das hängt von der Größe und Komplexität ab.

Kontaktieren Sie DSecured

SaaS Pentest anfragen