Cyber Security

Sicherheit ist kein Feature.

IT-Sicherheitsanalysen für Webanwendungen und Infrastruktur. OWASP-Standards, klare Berichte.

Dienstleistungen
Was wir prüfen.
🎯

Penetration Testing

Simulierte Angriffe auf Ihre Webanwendung. Black-Box, Grey-Box oder White-Box.

🔍

Schwachstellenanalyse

Systematische Überprüfung auf bekannte Sicherheitslücken, priorisiert nach Risiko.

📋

Security Audit

Bewertung von Code, Konfiguration und Architektur inkl. OWASP Top 10.

📄

Security Report

Alle Findings mit CVSS-Bewertung, Screenshots und konkreten Handlungsempfehlungen.

🛡️

Beratung & Härtung

Unterstützung bei der Umsetzung: Header, Auth, Verschlüsselung, Architektur.

🔄

Re-Test

Nach Behebung prüfen wir erneut – erst dann gibt es das Siegel.

Beispiel
So sieht ein Auditbericht aus.
4 Findings
SQL Injection in Login-EndpointCVSS 9.1
Missing Content-Security-Policy HeaderCVSS 5.3
Session Fixation nach LoginCVSS 4.8
Verbose Error Messages in ProductionCVSS 2.1
Klicken für vollständigen Beispielbericht →
🔒DIGIVOLTA SECURITY REPORT

Penetration Test – Beispiel GmbH

Webapplikation · app.beispiel.de · Durchgeführt: 15.–18. Januar 2025
1
KRITISCH
2
MITTEL
1
NIEDRIG
12
BESTANDEN

🔴 Kritisch

SQL Injection im Login-EndpointCVSS 9.1
Der Parameter username im Endpoint /api/auth/login ist anfällig für SQL-Injection. Ein Angreifer kann durch manipulierte Eingaben die gesamte Datenbank auslesen oder administrative Rechte erlangen.
→ Empfehlung: Prepared Statements verwenden

🟡 Mittel

Fehlender Content-Security-Policy HeaderCVSS 5.3
Die Anwendung setzt keinen CSP-Header. Dadurch sind Cross-Site-Scripting (XSS) leichter ausnutzbar.
→ Empfehlung: Strikte CSP mit Nonce-basiertem Script-Loading implementieren
Session Fixation nach LoginCVSS 4.8
Die Session-ID wird nach erfolgreicher Authentifizierung nicht erneuert. Ein Angreifer mit einer vorher gesetzten Session-ID kann die authentifizierte Sitzung übernehmen.
→ Empfehlung: Session nach Login regenerieren (session_regenerate_id)

🔵 Niedrig

Verbose Error MessagesCVSS 2.1
Im Produktivmodus werden detaillierte Fehlermeldungen mit Stack-Traces und Dateipfaden ausgegeben. Dies kann Angreifern Informationen über die interne Struktur liefern.
→ Empfehlung: APP_DEBUG=false setzen, Custom Error Pages konfigurieren
Dies ist ein vereinfachtes Beispiel. Echte Berichte enthalten zusätzlich Screenshots, Proof-of-Concepts, detaillierte Reproduktionsschritte und priorisierte Maßnahmenpläne.
Der Ablauf
Von der Anfrage zum Bericht.

Unser Security-Prozess beginnt mit einem kurzen Fragebogen.

01

Fragebogen

Kurzer Online-Fragebogen zu Anwendung, Technologie und Scope.

02

Scoping & Angebot

Prüfumfang definieren, transparentes Festpreisangebot.

03

Testing

Tests durchführen, kritische Findings sofort melden.

04

Report & Beratung

Detaillierter Bericht und Beratung zur Behebung.

Wie sicher ist Ihre Anwendung?

Schreiben Sie uns für ein Erstgespräch oder fordern Sie direkt den Security-Fragebogen an.

Cookies & Datenschutz

Technisch notwendige Cookies. Mehr erfahren.