Penetrationstests von Symfony-Anwendungen

Lassen Sie lieber uns Ihre Symfony-Webanwendung hacken, als einen echten Hacker. Wir finden Schwachstellen, bevor es zu spät ist.

Unsere spezialisierten Penetrationstests durchleuchten Ihre Symfony-Anwendungen bis ins kleinste Detail. Durch gezielte Angriffe identifizieren wir Schwachstellen.

Lohnt sich ein Symfony Penetrationstest?

Wenn sich Ihre Symfony-Webanwendung innerhalb des internen Netzwerks befindet oder in der Datenbank der Anwendung personenbezogene Daten oder Finanztransaktionsdaten zu finden sind, dann lohnt sich ein Symfony Penetrationstest. Aus Hacker-Perspektive sind PHP-Anwendungen, wie Symfony, ein vergleichsweise leichtes Ziel. Die Angriffsfläche ist groß und die Sicherheitslücken sind vielfältig. Gleichzeitig leidet oft die Qualität der Programmierung unter dem Zeitdruck, unter dem viele dieser Anwendungen entwickelt werden. Mit Hilfe unsere Symfony Penetrationstests können Sie schwerwiegende Sicherheitslücken schließen noch bevor Sie von Hackern ausgenutzt werden. Sind Sie Agenturbetreiber könnne Sie so sicherstellen, dass Ihr Kunde eine sichere Anwendung übergeben bekommt.

Wie läuft ein Symfony Pentest ab und was sind die Kosten?

Weiter unten finden Sie eine Übersicht relevanter Informationen zum Thema Penetrationstest - diese beinhalten Arten von Pentests, Kosten, Sparpotentiale, Ablauf und Empfehlungen. Allgemein ist ein Symfony Pentest nichts anderes als ein regulärer Web Application Pentest bei dem ein Tester unsererseits eingesetzt wird, der sich mit Symfony auskennt - beispielsweise, weil er es selbst einsetzt. Das sorgt dafür, dass im Rahmen der Tests Dinge gefunden werden, die bei anderen Testern vielleicht untergehen würden.

Initial sprechen wir über den Test, planen ihn zusammen mit dem Kunden, sammeln alle relevanten Informationen und setzen uns dann im Team zusammen, um die Anwendung zu testen. Der Abschluss ist ein Bericht sowie Meeting. Sie haben im Anschluss die Zeit die Funde zu korrigieren, wir prüfen anschließend, ob alles richtig gemacht wurde. Was die Kosten angeht, kommt es sehr stark auf die Größe und Komplexität des Projekts an. Ein einfacher Symfony Pentest kann 3.000 Euro kosten. Bei größeren Projekten, beispielweise SaaS auf Basis von Symfony, können Preise ab 10.000 Euro abgerufen werden. Wir empfehlen Ihnen, uns zu kontaktieren, um ein individuelles Angebot zu erhalten. Siehe SaaS Penetrationstest.

"PHP-Frameworks allgemein erleichtern das Erstellen von Webapplikationen - aber auch das Einführen von sehr spezifischen Sicherheitslücken."

Damian Strobel - Gründer von DSecured

Die IT-Sicherheit Ihrer Symfony-Anwendung sollte Ihnen wichtig sein. Wir helfen Ihnen dabei!

Angebot anfordern

Relevantes zu Symfony-Penetrationstests

Wie viel kostet ein Penetrationstest?

Kosten zu nennen ist schwierig, da jeder Test individuell ist - aber wir finden immer eine Lösung, die zu jedem Budget passt.

Wie oft sollte man einen Penetrationstest durchführen lassen?

Die Häufigkeit eines Pentests hängt von verschiedenen Faktoren ab - wir geben Ihnen eine Übersicht.

Welche Arten von Penetrationstests gibt es?

Das Wort Penetrationstest ist ein sehr allgemeines Wort und kann diverse Arten von Tests beschreiben. Eine Übersicht gibt es hier.

Wie läuft ein Penetrationstest in der Regel ab?

Der Ablauf eines Pentests ist in der Regel immer gleich - je nach Art des Tests unterscheiden sich die Schritte jedoch.

Pentest: Dienstleistungen

Web Application Penetrationstest

Große Teile des Internets basieren auf Websites und Webapplikationen.

API Penetrationstest

Moderne Webseiten und SPA kommunizieren in aller Regel mit irgendeiner Art von API.

Schwachstellenscans

Vollautomatisierte Schwachstellenscans für Ihre IT-Infrastruktur oder Applikation.

Welche Sicherheitslücken finden wir in Symfony-Anwendungen?

Symfony basiert allgemein auf der Sprache PHP. Entsprechend sehen unsere Funde aus. Da Symfony in der Regel zusammen mit einem soliden ORM verwendet wird, sieht man SQL Injections recht selten. Dafür wird Symfony oft und gerne mit einer Template Engine, wie Twig kombiniert. Das Ergebnis sind häufig Serverside Template Injections, die oft zu Remote Code Execution führen. Vor allem innerhalb von E-Mail-Templates sieht man dieses Problem überproportional oft. Je nach Art der Anwendung findet man im Grunde alle möglichen Probleme - von Cross-Site Scripting über CSRF bis hin zu unsicheren Konfigurationen, letzteres beispielsweise oft, wenn dotenv eingesetzt wird. Da Symfony extrem flexibel ist, kann man oft im Vorfeld schwer abschätzen, was gefunden wird. Die Softwarequalität spielt natürlich auch eine große Rolle, wird die Applikation von einem Team erfahrener PHP-Entwickler betreut sind Sicherheitslücken schwerer zu finden.

Ein Punkt ist auch die Art der Applikation. Mehrheitlich sehen wir Webanwendungen. Hin und wieder sehen wir reine API auf Basis von Symfony - hier ändert sich das Angriffsszenario. Sicherheitslücken hier sind eher komplexer Natur (Kombination aus kleinen Problemen, die zu etwas kritischem werden können). Mehrheitlich sieht man außerdem in so einem Fall Authentifizierungs- und Autorisierungsprobleme sowie klassische IDOR. An der Stelle empfehlen wir die Seite API Pentest.

Einige Unternehmen, denen wir bisher helfen konnten

Symfony Pentest anfragen