Penetrationstests von Spring Boot-Anwendungen

Unsere geschulten Augen finden jede Schwachstelle in Ihrer Spring Boot-Anwendung. Ein finaler Bericht erlaubt es Ihnen alle Sicherheitslücken schnell zu schließen, so dass Ihre Kunden in Sicherheit sind.

Unsere spezialisierten Penetrationstests decken potenzielle Sicherheitslücken in Ihrer Spring Boot Anwendung auf, bevor sie ausgenutzt werden können. Mit profundem Wissen und modernsten Methoden können wir sicherstellen, dass Hacker keine Chance haben Ihre Daten zu stehlen.

Was ist ein Spring Boot-Penetrationstest?

Spring Boot ist ein Open-Source-Framework, das auf Java basiert. Vor allem im Enterprise-Bereich wird es für die Programmierung komplexer Webapplikationen, API und SaaS verwendet. Das bedeutet, dass ein Spring Boot-Pentest im Grunde ein auf Java-Anwendungen spezialisierter Webapplication-Pentest ist. Wie bei jeder anderen Webapplikation suchen wir nach klassischen Sicherheitslücken, die man in dem Bereich immer wieder sieht und erwartet. Speziell bei Spring Boot werden noch weitere Themen bearbeitet, wie beispielsweise das umliegende Netzwerk, Entwicklerumgebungen mit aktiviertem Entwickler-Modus und vieles mehr. Der Ablauf bei dieser Art von Pentest ist allgemein immer gleich. Wir starten mit dem Kennenlernen und Kick-Off-Meeting. Gehen anschließend in die Informationsbeschaffung und Durchführung über. Abschließend bekommt der Kunde einen finalen Bericht mit allen Einzelheiten. Diese können im Rahmen eines Meetings besprochen werden.

Warum sollten Sie Ihre Spring Boot-Applikation testen lassen?

Unserer Erfahrung nach sind Java-Applikationen oft sehr komplex und haben viele Abhängigkeiten. Sie werden im Enterprise-Bereich eingesetzt und sind ein attraktives Angriffsziel für Hacker. Ein Angreifer kann sich recht sicher sein, dass die Datenbank hinter einer Spring Boot-Applikation interessante Daten enthält. Bereiche, in denen Spring Boot eingesetzt wird, sind oft von regulatorischen Anforderungen betroffen. Ein erfolgreicher Angriff kann also nicht nur finanzielle Schäden verursachen, sondern auch das Image des Unternehmens schädigen.

Alleine das sollte bereits ein Grund sein, einen Penetrationstest von DSecured durchzuführen.

Damian Strobel

"Wir lieben Spring Boot. Es ist mächtig und erlaubt es Entwicklern viele Fehler zu machen. Aus Angreifersicht sehe ich diese Art von Anwendung sehr gerne."

Damian Strobel - Gründer von DSecured

Prüfen Sie, ob Ihre Spring Boot-Anwendung wirklich sicher ist. Wir helfen!

Warum sollte DSecured Ihren Spring Boot-Pentest durchführen?

Erfahrenes Team

Profitieren Sie von unserem erfahrenen Team aus Bug Bounty Huntern und ethischen Hackern, die bereits zahlreiche erfolgreiche Spring Boot-Pentest durchgeführt haben. Für uns sind komplexe Scopes und abgesicherte Systeme kein Problem und eher Standard.

Herausragender Bericht

Erhalten Sie detaillierte und verständliche Berichte, die nicht nur Schwachstellen aufzeigen, sondern auch konkrete und umsetzbare Empfehlungen bieten. Unser Risk Assessment ist realistisch auf Ihren Fall abgestimmt.

Maximale Kreativität

Unser innovatives Team nutzt kreative und unkonventionelle Ansätze, um selbst die verstecktesten Sicherheitslücken zu identifizieren. Wir kombinieren kleine Fehler zu kritischen Sicherheitslücken, die keiner so erwartet hat.

Effektive Risikominimierung

Schützen Sie Ihr Unternehmen durch gezielte Tests, die potentielle Sicherheitsrisiken minimieren und Ihre IT-Infrastruktur absichern. Blackhats und Cyberkriminelle lassen in der Regel nicht lange auf sich warten und nutzen jede Schwäche aus.

Maßgeschneiderte Kommunikation

Wir passen unsere Kommunikation an Ihre Bedürfnisse an, sei es durch regelmäßige Updates, ausführliche Besprechungen oder verständliche Erklärungen. Hierbei ist egal, ob per WhatsApp, Signal oder Slack. Sie entscheiden!

Langfristige Partnerschaft

Setzen Sie auf eine langfristige Zusammenarbeit, die nicht nur einmalige Tests, sondern kontinuierliche Sicherheitsoptimierungen und Unterstützung bietet. Wir können jede Perspektive einnehmen und sind Ihr Partner in Sachen Sicherheit.

Wie hoch sind die Kosten eines Spring Boot Pentests?

Die Kosten für einen Pentest im Bereich Webapplikationen können stark variieren, weshalb Sie uns einfach Ihr Projekt vorstellen sollten, um eine aussagekräftige Information bzw. Angebot zu erhalten. Im Gegensatz zu anderen Frameworks, sieht man Spring bzw. Spring Boot oft in größeren Projekten bzw. in Verwendung für komplexe Projekte. Kosten für einen Pentest werden im Allgemeinen von Zeitaufwand, Komplexität und weiteren Faktoren beeinflusst. Die meisten Spring Boot Pentests, die wir in der Vergangenheit durchgeführt haben, sind im Bereich ab 7.500 Euro anzusiedeln. Je nachdem kann es auch weniger, aber auch deutlich mehr sein. Gerne erstellen wir Ihnen ein Angebot.

Statische Analyse mit FindSecBugs

Eine gute Zwischenlösung bei kleinem Budget ist es tatsächlich den Code statisch zu analysieren. Hierzu wollen wir FindSecBugs empfehlen. Das Aufsetzen ist etwas komplexer, aber das Tool findet interessante Stellen im Java-Quellcode. Dieses sollten von einem IT-Sicherheitsexperten unter die Lupe genommen werden. Wichtig ist hier zu verstehen, was genau gefunden wird und wie der Kontext ist - nicht alles, was das Tool findet, ist auch wirklich eine Sicherheitslücke, die man ausnutzen kann. Im Allgemeinen ist das aber ein guter Start, um das eigene Spring-Boot-Projekt abzuhärten.

Als Pentest-Anbieter für Spring Boot inkludieren wir selbstverständlich das Testen mit FindSecBugs im Rahmen von Whitebox-Penetrationstests.

Java Spring Boot Pentest

Welche Schwachstellen findet man während eines Spring Boot Pentests?

Spring bzw. Spring Boot ist letzten Endes ein Java-Framework mit dem primär Webanwendungen umgesetzt werden - entsprechend kann man die OWASP Top 10 erwarten. XSS, Path Traversals und Code Injections sind Lücken, die wir häufig finden. SQL Injections sind seltener anzutreffen. Auch SSTI und IDOR ist etwas, was man in Spring Boot Projekten finden kann. Allgemein ist es so, dass je nach Programmcode alles mögliche gefunden werden könnte. Die Erfahrung des Entwicklerteams und Entwicklungsprozesse spielen eine große Rolle.

Viele Entwickler im Bereich Java wissen nicht um die Gefahren, die Spring Boot mitbringt. Hier seien primär die Actuator-Endpunkte erwähnt. Diese sind in der Regel (speziell env, gateway sowie heapdump) kritische Funde, da sie sensible Informationen preisgeben. Oft sieht man "******" im end-Endpunkt, diese Werte lassen sich aber im Regelfall problemlos über den Heapdump mit VisualVM o.ä. rekonstruieren. Über diese Daten kann man oft ganze Infrastrukturen (Fall AWS Zugangsdaten) komplett übernehmen.

Im Kontext von Spring Actuator gibt es einfach wahnsinnig viele Tricks, die zu kritischen Sicherheitslücken führen. Die Jolokia-Endpoints können oft für RCE missbraucht werden. Über Gateway lassen sich Routes registrieren, die auf andere Systeme zeigen (Stichwort SSRF). Traversals sind bei älteren Versionen von Spring Boot ebenfalls möglich. Wichtig ist hierbei wirklich zu prüfen, was machbar ist - oft sind einige Endpunkte erreichbar, aber es gibt absolut keinen Impact. Selten sind auch einzelne Routes verfügbar - beispielsweise "shutdown". Damit lässt sich eine Applikation einfach beenden (Stichwort DOS). Etwas was außerdem nicht vernachlässigt werden sollte, sind die Abhängigkeiten. Oft sind hier kritische Lücken zu finden - ein gutes und oft gefundenes Beispiel wäre Spring4Shell bzw. CVE-2022-22965.

Einige Unternehmen, denen wir bisher helfen konnten

Grab
PayPal
BMW
Goldman Sachs
Starbucks
ATT
TikTok
Hilton
Kontaktieren Sie DSecured

Spring Boot-Pentest anfragen