Web Application Testing
Wir testen Web-Anwendungen jeder Größenordnung, von der einfachen Website bis zur komplexen Multi-Tenant-Plattform. Unser Ansatz basiert auf etablierten Standards wie dem OWASP Testing Guide, den OWASP Top 10 und den OWASP API Security Top 10. Wir schauen dort besonders genau hin, wo in echten Vorfällen am häufigsten Probleme entstehen.
Unser Web-Pentest folgt einem strukturierten, praxisnahen Ablauf, der sich an einem realen Angreifer orientiert. Die 16 Prüfphasen bei Hackeroo:
Passive Informationssammlung
Analyse der zugrunde liegenden IT-Systeme
Aktive Informationssammlung am Ziel
Konfigurationsmanagement von Webserver & Anwendung
Authentifizierungsprüfung
Identitätsmanagement & Registrierung
Passwort-Handling
Sichere Datenübertragung
Session-Management
Berechtigungsprüfung
Prüfung der Mandantentrennung
Eingabevalidierung (Injection, XSS, …)
Datei-Upload-Sicherheit
„Low and Slow“-DoS-Techniken
Fehlerbehandlung
Schwachstellenausnutzung / Exploiting
Wir verlassen uns nicht auf Tool-Ausgaben allein. Automatisierte Scans sind nur der Startpunkt. Die eigentliche Arbeit passiert manuell, mithilfe realer Angriffstechniken und viel Erfahrung.
Qualifikationen
Die Tester von Hackeroo wissen, was sie tun und sie können es nachweisen. Unser Team besteht aus erfahrenen Ethical Hackern mit praxisorientierten Zertifizierungen wie dem OSCP (Offensive Security Certified Professional) oder dem BACPP (Binsec Academy Certified Pentest Professional). Beide stehen für reale Angriffe auf echte Systeme unter realistischen Bedingungen und nicht für Theorie oder Multiple Choice Prüfungen.
Für unsere Kunden heißt das manuelles Security Testing auf Augenhöhe mit echten Angreifern. Keine reinen Tool Scans und keine Checklisten Audits sondern tiefgehende Analysen mit technischer Tiefe Erfahrung und klaren Ergebnissen. Wir denken wie Angreifer und genau so testen wir auch.
Typische Fragen
Unser Tagessatz liegt bei 1.120 € netto.
Auf dieser Basis vereinbaren wir vorab einen festen Pauschalpreis, der sich aus dem gemeinsam definierten Scope ergibt. Keine Überraschungen auf der Rechnung. Kein Nachverhandeln.
Die Gesamtkosten hängen davon ab, was wir testen und wie tief wir gehen. Eine schlanke Web-App ist etwas anderes als eine komplexe Plattform mit APIs, Authentifizierungs-Flows, Rollenmodellen und Cloud-Setup. Blackbox oder Greybox, ein Ziel oder zehn, wenige Tage oder mehrere Wochen – das bestimmt den Aufwand.
Wir rechnen nach Zeit, nicht nach Schwachstellen. Automatisierte Tools sind der Einstieg, nicht das Ergebnis. Die relevanten Findings entstehen durch manuelle Analyse, Erfahrung und das Denken wie ein echter Angreifer.
Unterm Strich: Klarer Scope, transparenter Aufwand, fester Preis und Ergebnisse, die mehr sind als nur ein Compliance-Häkchen.
