VELARTIS logo

Penetration Testing, das Risiken messbar reduziert.

Wir testen Ihre Webanwendungen wie echte Angreifer – strukturiert, manuell und nach anerkannten Standards. So erhalten Ihre Teams klare, umsetzbare Maßnahmen für mehr Sicherheit und Compliance.

Jetzt beraten lassen
  • OWASP‑orientiert
  • Reproduzierbare Findings
  • Re‑Test optional
  • Erfahrene SANS-zertifizierte Pentester

Aller Anfang ist leicht

Sicherheit beginnt im Web. Die Spezialist:innen von Velartis identifizieren Schwachstellen in Ihren Webapplikationen, priorisieren Risiken nach Geschäftsauswirkung und begleiten Sie bei der nachhaltigen Behebung – vom Proof‑of‑Concept bis zum erfolgreichen Re‑Test.

Nutzenversprechen

  • Realistische Angriffswege: Manuelle Tests über die OWASP Top 10 hinaus – inklusive Logik‑ und Autorisierungsfehler.
  • Entwickler‑freundliche Ergebnisse: Schritt‑für‑ Schritt‑ Nachstellung, Code‑nahe Hinweise und klare Priorisierung.
  • Messbarer Fortschritt: Re‑Test und Vergleich vor/nach Fix – auf Wunsch mit Ampel‑KPIs für Management und Teams.
  • Compliance im Blick: Unterstützung für DSGVO‑, NIS2‑ und ISO‑27001‑Anforderungen sowie sichere Responsible Disclosure.

Was wir prüfen

  • Authentifizierung & Session‑Management
  • Autorisierung & Zugriffskontrollen (z. B. IDOR/BOLA)
  • Eingabevalidierung & Injection (SQLi, Command Injection u. a.)
  • Cross‑Site Scripting (reflected, stored, DOM)
  • CSRF & Clickjacking
  • Datei‑Uploads, Deserialisierung, SSRF
  • Sicherheitskonfiguration (TLS, Headers, CORS, CSP)
  • Business‑Logik & Missbrauchsszenarien
  • APIs & Microservices (REST/GraphQL)
  • Cloud‑ und CI/CD‑bezogene Fehlkonfigurationen (falls relevant)

Vorgehensweise

Scoping & Ziele

Klare Zieldefinition, Bedrohungsmodell und Testregeln.

Recon & Mapping

Angriffsfläche erfassen, Funktionen und Rollen modellieren.

Manuelle Analyse

Tiefgehende Prüfungen auf Logik‑ und Kettenangriffe.

Exploitation

Belegbare Proof‑of‑Concepts, keine Beeinträchtigung des Betriebs.

Risikobewertung

Einstufung nach Auswirkung/ Wahrscheinlichkeit, CVSS‑Score, CWE‑Zuordnung.

Reporting & Debrief

Management‑Summary + technischer Detailbericht, Live‑Review mit Ihrem Team.

Remediation‑Support

Priorisierte Fix‑Empfehlungen; optional: Pairing mit Dev/DevOps.

Re‑Test & Nachweis

Validierung der Fixes, finaler Statusbericht für Stakeholder.

Ergebnisse & Deliverables

  • Executive Summary mit Risiko‑Bewertung und Quick‑Wins
  • Technischer Detailreport mit reproduzierbaren Schritten, Payloads (sicher aufbereitet) und Lösungsstrategien
  • Abschlusspräsentation mit Q&A für Entwickler:innen & Product Owner
  • Re‑Test‑Report als Nachweis gegenüber Audit/Management

Pakete

Essential

Fokus auf kritische Funktionen & OWASP‑Top‑Risiken

Basic

Professional

Tiefgang inkl. Business‑Logik, API‑Schicht & Re‑Test

Plus

Continuous

Regelmäßige Pentests, Build‑nähe Checks und laufende Beratung (DevSecOps‑Friendly)
Premium

Warum Velartis?

  • Manuell vor Tooling: Scanner sind nur der Anfang – entscheidend sind kreative Ansätze.
  • Klar & umsetzbar: Wir schreiben für Entwickler:innen und fürs Management.
  • Sicher und planbar: Testen nur mit Freigabe, verantwortungsvolle Offenlegung, sensible Daten geschützt.
  • Partnerschaftlich: Von der Erstaufnahme bis zum Re‑Test – auf Augenhöhe mit Ihren Teams.

Branchen & Use‑Cases

  • E‑Commerce
  • FinTech/InsurTech
  • SaaS/Plattformen
  • Öffentliche Einrichtungen
  • Health/MedTech
  • Industrie & IoT‑Portale
  • Education & Research

FAQ

Schnelle Antworten auf Ihre Fragen

Scans finden bekannte Muster. Ein Pentest kombiniert dies mit manueller Analyse, um Logikfehler, Ausnutzungs‑Ketten und reale Angriffswege aufzudecken – also das, was zu echtem Risiko führt.

Unsere Tests sind so ausgelegt, dass sie den Betrieb nicht stören. Kritische Schritte erfolgen kontrolliert und abgesprochen.

Nach Auswirkung auf Geschäft und Daten, Wahrscheinlichkeit der Ausnutzung und CVSS‑Score – mit klaren Handlungsempfehlungen.

Ja. Reports enthalten die Informationen, die Auditor:innen für NIS2/ISO‑27001/DSGVO typischerweise erwarten.

Ja. REST/GraphQL und typische Auth‑Flows (OAuth/OIDC) sind fester Bestandteil des Angebots.