Allgemein
Was ist PentServ?
PentServ ist eine moderne Plattform für Anwendungssicherheit, die einen vollständigen Find-to-Fix-Workflow für Pentesting und Schwachstellenbewertungen ermöglicht.
Wie unterscheidet sich PentServ von traditionellen Penetrationstests?
PentServ liefert die gesamte Berichterstattung und Kommunikation über eine moderne Online-Plattform, die Ihnen die kontinuierliche Zusammenarbeit mit den Pentestern erleichtert und sich nahtlos in Ihren SDLC (Software Development Life Cycle) integriert.
Penetrationstests
Welche Arten von Anwendungen können getestet werden?
Unsere Pentester sind sehr erfahren in der Durchführung von Audits und Penetrationstests von Webanwendungen, mobilen Anwendungen (Android/iOS), Web-APIs, externen/internen Netzwerken und Desktop-Anwendungen. Falls Ihre Anwendung nicht in diese Kategorien fällt, freuen wir uns trotzdem über ein Gespräch, um zu sehen, ob wir helfen können.
Wie funktioniert die Festlegung des Scopes mit PentServ?
Das Scoping eines Tests ist ein strukturierter Prozess, bei dem Sie Informationen über das Zielsystem, einschließlich Plattformspezifikationen, Limitierungen und Anleitungen, etc. einreichen können. All dies geschieht innerhalb der PentServ Anwendung während der Erstellung des Pentest-Projekts.
Kann ich die Pentester beauftragen bestimmte Szenarien zu testen, über die ich mir besonders Sorgen mache?
Ja, Sie können direkt mit dem Pentest-Team kommunizieren, um sicherzustellen, dass es über die richtigen Informationen verfügt, um einen qualitativ hochwertigen Test durchzuführen.
Ich möchte für die Durchführung des Pentests Zeiten außerhalb unserer Hauptzugriffszeiten festlegen, damit meine Produktionsumgebung nicht ausfällt, wenn meine Benutzer am aktivsten sind. Wie kann ich das tun?
Wir führen unsere Tests mit höchster Sorgfalt durch sodass an Ihren Systemen kein Schaden entsteht. Wenn Sie dennoch Testzeiten für Pentester festlegen wollen, sollten Sie in Ihrer Programmbeschreibung einen Zeitrahmen festlegen, der angibt, wann die Pentester Ihre Produktionsumgebung für Penetrationstests nutzen können.
Wie viele HTTP Requests werden während des Tests auf meiner Website eingehen?
Während des Tests einer Webseite werden unter anderem auch automatisierte Tools eingesetzt um schnell auf verschiedene Vektoren prüfen zu können. Dies stellt eine größtmögliche Abdeckung der Testcases und des Zielsystems sicher. Der Datenverkehr und die Menge der Anfragen beim Testen ähnelt derer die durch einige wenige normale Besucher der Webseite verursacht werden. Bei kurzen, intensiven Scans kann es zu Spitzenwerte von 100 Mbps (0,1 Gbps) kommen. Der überwiegende Teil der Tests beruht jedoch auf manuellen Techniken, die in der Regel um eine Größenordnung kleiner sind.
Benötige ich eine Genehmigung von meinem Cloud-Anbieter (AWS und andere)?
Bei den großen Cloud-Anbietern (AWS, Azure, GCP) ist eine vorherige Anmeldung für normale Penetrationstests nicht erforderlich. Wenn Sie jedoch einen kleineren Anbieter nutzen, sollten Sie sich bei diesem erkundigen. PentServ kann bei der Bereitstellung der erforderlichen Informationen helfen.
Ergebnisse
Welche Art von Ergebnissen kann ich von PentServ Penetrationstests erwarten?
Sie erhalten sowohl Ergebnisberichte mit detaillierten Beschreibungen der einzelnen Schwachstellen als auch einen vollständigen zusammenfassenden Bericht, der den Test und die Ergebnisse verständlich beschreibt.
Kann ich einen Beispielreport eines PentServ Pentests erhalten?
Natürlich! Kontaktieren Sie uns und wir werden Ihnen einen zur Verfügung stellen.
Wer kann die Ergebnisse meiner Pentests einsehen?
Nur eingeladene Teammitglieder und die Pentester können die Liste der gemeldeten Schwachstellen einsehen. Alle diese Zugriffsmöglichkeiten sind in den Einstellungen des jeweiligen Pentest-Projekts sichtbar und einstellbar.