Penetrationstests von Symfony-Anwendungen

Lassen Sie lieber uns Ihre Symfony-Webanwendung hacken, als einen echten Hacker. Wir finden Schwachstellen, bevor es zu spät ist.

Unsere spezialisierten Penetrationstests durchleuchten Ihre Symfony-Anwendungen bis ins kleinste Detail. Durch gezielte Angriffe identifizieren wir Schwachstellen.

Lohnt sich ein Symfony Penetrationstest?

Wenn sich Ihre Symfony-Webanwendung innerhalb des internen Netzwerks befindet oder in der Datenbank der Anwendung personenbezogene Daten oder Finanztransaktionsdaten zu finden sind, dann lohnt sich ein Symfony Penetrationstest. Aus Hacker-Perspektive sind PHP-Anwendungen, wie Symfony, ein vergleichsweise leichtes Ziel. Die Angriffsfläche ist groß und die Sicherheitslücken sind vielfältig. Gleichzeitig leidet oft die Qualität der Programmierung unter dem Zeitdruck, unter dem viele dieser Anwendungen entwickelt werden. Mit Hilfe unsere Symfony Penetrationstests können Sie schwerwiegende Sicherheitslücken schließen noch bevor Sie von Hackern ausgenutzt werden. Sind Sie Agenturbetreiber könnne Sie so sicherstellen, dass Ihr Kunde eine sichere Anwendung übergeben bekommt.

Wie läuft ein Symfony Pentest ab und was sind die Kosten?

Weiter unten finden Sie eine Übersicht relevanter Informationen zum Thema Penetrationstest - diese beinhalten Arten von Pentests, Kosten, Sparpotentiale, Ablauf und Empfehlungen. Allgemein ist ein Symfony Pentest nichts anderes als ein regulärer Web Application Pentest bei dem ein Tester unsererseits eingesetzt wird, der sich mit Symfony auskennt - beispielsweise, weil er es selbst einsetzt. Das sorgt dafür, dass im Rahmen der Tests Dinge gefunden werden, die bei anderen Testern vielleicht untergehen würden.

Initial sprechen wir über den Test, planen ihn zusammen mit dem Kunden, sammeln alle relevanten Informationen und setzen uns dann im Team zusammen, um die Anwendung zu testen. Der Abschluss ist ein Bericht sowie Meeting. Sie haben im Anschluss die Zeit die Funde zu korrigieren, wir prüfen anschließend, ob alles richtig gemacht wurde. Was die Kosten angeht, kommt es sehr stark auf die Größe und Komplexität des Projekts an. Ein einfacher Symfony Pentest kann 3.000 Euro kosten. Bei größeren Projekten, beispielweise SaaS auf Basis von Symfony, können Preise ab 10.000 Euro abgerufen werden. Wir empfehlen Ihnen, uns zu kontaktieren, um ein individuelles Angebot zu erhalten. Siehe SaaS Penetrationstest.

Damian Strobel

"PHP-Frameworks allgemein erleichtern das Erstellen von Webapplikationen - aber auch das Einführen von sehr spezifischen Sicherheitslücken."

Damian Strobel - Gründer von DSecured

Die IT-Sicherheit Ihrer Symfony-Anwendung sollte Ihnen wichtig sein. Wir helfen Ihnen dabei!

Welche Sicherheitslücken finden wir in Symfony-Anwendungen?

Symfony basiert allgemein auf der Sprache PHP. Entsprechend sehen unsere Funde aus. Da Symfony in der Regel zusammen mit einem soliden ORM verwendet wird, sieht man SQL Injections recht selten. Dafür wird Symfony oft und gerne mit einer Template Engine, wie Twig kombiniert. Das Ergebnis sind häufig Serverside Template Injections, die oft zu Remote Code Execution führen. Vor allem innerhalb von E-Mail-Templates sieht man dieses Problem überproportional oft. Je nach Art der Anwendung findet man im Grunde alle möglichen Probleme - von Cross-Site Scripting über CSRF bis hin zu unsicheren Konfigurationen, letzteres beispielsweise oft, wenn dotenv eingesetzt wird. Da Symfony extrem flexibel ist, kann man oft im Vorfeld schwer abschätzen, was gefunden wird. Die Softwarequalität spielt natürlich auch eine große Rolle, wird die Applikation von einem Team erfahrener PHP-Entwickler betreut sind Sicherheitslücken schwerer zu finden.

Ein Punkt ist auch die Art der Applikation. Mehrheitlich sehen wir Webanwendungen. Hin und wieder sehen wir reine API auf Basis von Symfony - hier ändert sich das Angriffsszenario. Sicherheitslücken hier sind eher komplexer Natur (Kombination aus kleinen Problemen, die zu etwas kritischem werden können). Mehrheitlich sieht man außerdem in so einem Fall Authentifizierungs- und Autorisierungsprobleme sowie klassische IDOR. An der Stelle empfehlen wir die Seite API Pentest.

Symfony Pentest

Einige Unternehmen, denen wir bisher helfen konnten

Grab
PayPal
BMW
Goldman Sachs
Starbucks
ATT
TikTok
Hilton
Kontaktieren Sie DSecured

Symfony Pentest anfragen