Zum Hauptinhalt springen

Aufruf an alle Entwickler, Designer, DevOps-Spezialisten und Kreativen: Ihre Fähigkeiten verdienen 4 % Honorar, nicht 20 %. Kunden: Qualität erhalten, fair bezahlen, geschützt bleiben.

Sicherheitsaudit & Penetrationstests

Professional Security Audit & Penetration Testing services with guaranteed quality and timely delivery. Expert freelancers ready to bring your project to life.

Cybersecurity
3
Verfügbare Angebote
$350.00
Startpreis
N/A
Durchschn. Liefertage
Löschen

Verfügbare Angebote (3)

Ольга Петренко
Freiberufler

Professionelle Sicherheitsprüfung und Penetrationstests

<p>Hochwertige Sicherheitsaudit- und Penetrationstests mit schneller Bereitstellung. Jahrelange Erfahrung in der Branche.</p>

Ab $92.00
3 Tage Lieferung
Details anzeigen
H
Hans Wagner
Freiberufler

Penetrationstest (Webanwendung)

<p>Identifizieren Sie Sicherheitslücken vor Hackern mit ethischem Hacking und testen Sie die Abwehr Ihrer Webanwendung. Diese Penetrationstests umfassen: Scoping-Konsultationen zur Festlegung von Testumfang, Einsatzregeln, IP-Adressen und Sperrbereichen, Aufklärung und Fußabdrückung zur Erfassung von Informationen über das Ziel mittels OSINT und passiven Techniken sowie Dokumentation des Testplans mit Testmethodik, Werkzeugen und Zeitplan. Die Schwachstellenbewertung umfasst: automatisiertes Scannen mit Tools wie Burp Suite, OWASP ZAP oder Nessus, das Erkennen häufiger Schwachstellen, manuelle Tests, praktische Tests von Geschäftslogik, Authentifizierungs- und Autorisierungsflüssen sowie das Kartieren der Angriffsflächen, die alle Einstiegspunkte (Formulare, APIs, Datei-Uploads, Parameter) für das Testen dokumentieren. Authentifizierungs- und Sitzungsmanagement-Tests umfassen: Brute-Force-Versuche, Anmeldeformulare für Ratenbegrenzung und Schutz gegen Kontosperren, Credential-Stuffing, Versuche von geleakten Zugangsdaten bei Datenpannen, Passwortwiederverwendung, Sitzungs-Hijacking beim Versuch, Session-Tokens zu stehlen oder vorherzusagen, Session-Timeout-Verifizierung, Sitzungsverifizierung, Sitzungsablaufen nach Inaktivität und unbefugten Zugriff zu verhindern, sowie Passwort-Zurücksetzungsfehler, Tests von Passwort-Flow-Flows für Account-Takeover-Schwachstellen. Autorisierungs- und Zugriffskontrolltests umfassen: Berechtigungseskalation, bei dem versucht wird, auf Funktionen mit höheren Privilegien von einem Konto mit niedrigen Privilegien zuzugreifen, unsichere direkte Objektreferenzen, die auf Daten anderer Nutzer zugreifen, indem IDs in URLs oder Anfragen manipuliert werden, erzwungenes Surfen beim Zugriff auf eingeschränkte Seiten durch URL-Raten, horizontale Privilegiensteigerung beim Zugriff auf Ressourcen mit gleichem Privilegienniveau, aber unterschiedlichem Benutzer, sowie vertikale Eskalation von Administratoren aus dem Benutzerkonto. Eingabevalidierungstests umfassen: SQL-Injektion, die versucht, SQL-Befehle in Eingabefelder einzuschleusen, die auf die Datenbank zugreifen oder sie verändern, Cross-Site-Scripting (XSS), das JavaScript injiziert, um Cookies zu stehlen oder Aktionen im Namen des Benutzers auszuführen, Befehlsinjektion, die Systembefehle über verwundbare Eingaben ausführt, XML/XXE-Injektion, die XML-Parser ausnutzt, um Dateien zu lesen oder SSRF-Angriffe durchzuführen, sowie LDAP/NoSQL-Injektionstests, die Nicht-SQL-Datenspeicher auf Injektionsschwachstellen testen. Geschäftslogiktests umfassen: Workflow-Umgehung der beabsichtigten Prozessabläufe (z. B. Überspringen des Zahlungsschritts), Rennbedingungen, die Zeitprobleme bei gleichzeitigen Anfragen ausnutzen, Preismanipulation bei der Änderung von Preisen oder Mengen im Einkaufswagen, Kontoaufzählung zur Bestimmung gültiger Benutzernamen oder E-Mail-Adressen sowie Funktionsmissbrauch durch den Missbrauch legitimer Funktionen für unbeabsichtigte Zwecke. Datei-Upload-Schwachstellen umfassen: bösartige Datei-Upload, die versuchen, Webshells oder ausführbare Dateien hochzuladen, Dateitypvalidierung umgeht die Umgehung von Dateitypbeschränkungen durch Content-Type-Spoofing oder Erweiterungstricks, Pfaddurchquerungs-Dateien an beliebige Orte, die möglicherweise kritische Dateien überschreiben, sowie Dateigrößenbeschränkungen, die DoS durch große Datei-Uploads testen. API-Sicherheitstests umfassen: REST-API-Tests, die Authentifizierung, Autorisierung und Eingabevalidierung an API-Endpunkten untersuchen, GraphQL-Introspektion bei der Ausnutzung offengelegter Schemas beim Entdecken versteckter Felder oder Abfragen, API-Rate-limiting-Tests bei fehlendem Throttling, das Scraping oder DoS ermöglicht, Massenzuweisungen, die Objekteigenschaften modifizieren, die nicht für den Benutzer bearbeitbar sind, sowie API-Versionierungstests für veraltete oder ältere API-Versionen auf Schwachstellen. Clientseitige Schwachstellen umfassen: DOM-basiertes XSS, das JavaScript-Schwachstellen im clientseitigen Code ausnutzt, Cross-Site Request Forgery (CSRF), das den Nutzer zwingt, unerwünschte Aktionen auszuführen, Clickjacking, das Nutzer dazu bringt, auf versteckte Elemente zu klicken, Open-Redirect, das URL-Weiterleitungen für Phishing ausnutzt, sowie HTML5-Sicherheitstests, das den lokalen Speicher, postMessage, CORS wegen Sicherheitsproblemen ausnutzt. Kryptographische Tests umfassen: schwache Verschlüsselung zur Erkennung der Verwendung veralteter Algorithmen (MD5, SHA1, DES), SSL/TLS-Konfigurationstests für schwache Chiffren, Zertifikatsprobleme oder Protokolllücken, die Überprüfung sensibler Datenexposition auf Passwörter, Token oder personenbezogene Daten in Antworten oder Protokollen sowie unsichere Zufallszahlen, die die Erzeugung zufälliger Zahlen auf Vorhersagbarkeit testen. Infrastrukturtests umfassen: Serverfehler zur Identifizierung unnötiger Dienste, Standardzugangsdaten oder Informationsoffenlegung, HTTP-Sicherheitsheader zur Überprüfung von CSP, HSTS, X-Frame-Options-Implementierung, Webserver-Schwachstellen zum Testen von Apache, Nginx, IIS auf bekannte Exploits sowie Container-/Cloud-Fehlkonfigurationen, falls zutreffend, sowie Tests von Docker, Kubernetes oder Cloud-Diensten auf Sicherheitslücken. Die OWASP Top 10 Abdeckung umfasst: Injektionsfehler SQL, Befehle, LDAP, XPath-Injektionstests, Verwaltung von Sitzungen mit defekter Authentifizierung, MFA, Schwachstellen bei der Speicherung von Zugangsdaten, Verschlüsselung sensibler Datenexposition, HTTPS, Datenschutzverifikation, XML-externe Entitäten XXE-Angriffe gegen XML-Parser, fehlerhafte Zugriffskontrollautorisierung und Privilegienerhöhung, Server für Sicherheitsfehler, Anwendungs- und Datenbankkonfigurationsprüfung, XSS-reflektierte, gespeicherte, DOM-basierte Crosssite-Skripte, unsichere Deserialisierung, Ausnutzung der Objektserialisierung für RCE, Nutzung von Komponenten mit Schwachstellen, veralteten Bibliotheken und Abhängigkeiten sowie unzureichende Fähigkeiten zur Erfassung und Antwort von Logging, Überwachung. Social Engineering (optional) umfasst: Phishing-Simulationen, das Testen der Anfälligkeit von Mitarbeitern für Phishing-E-Mails, Pretexting, Versuch, Informationen durch Imitation zu extrahieren, physische Sicherheit vor Ort, Tests des Badge-Zugangs, Tailgating oder Mülldrängen-Tauchen. Die Berichterstattung umfasst: Executive Summary auf hoher Ebene der Ergebnisse und Geschäftsrisiken für nicht-technische Stakeholder, technische Befunde, detaillierte Schwachstellenbeschreibungen mit Evidenz (Screenshots, Anfrage/Antwort), Schweregradbewertungen, CVSS-Bewertung und Prioritätsklassifikation (Kritisch, Hoch, Mittel, Niedrig), spezifische Empfehlungen zur Behebung jeder Schwachstelle mit Codebeispielen falls zutreffend sowie Compliance-Mapping, die die Ergebnisse mit PCI DSS bezieht, HIPAA, SOC 2 oder andere relevante Frameworks. Die Behebungsunterstützung umfasst: Entwicklerkonsultation, Funde mit dem Entwicklungsteam besprechen, um Fragen zu beantworten, erneute Tests nach Fixes, um Schwachstellen innerhalb von 30–60 Tagen ordnungsgemäß behoben zu überprüfen, sowie Code-Review, wenn gewünscht, wobei Patches vor der Einführung überprüft werden, um sicherzustellen, dass Fixen keine neuen Probleme verursachen. Zu den Ergebnissen gehören: Penetrationstestbericht, umfassendes Dokument mit Befunden, Beweisen und Behebungsschritten, Schwachstellendatenbank-Exportbefunde in CSV oder JSON für den Import in Tracking-Systeme, Proof-of-Concept-Code, bereinigte Exploits, die Schwachstellen für Entwickler aufzeigen, sowie Sicherheitszertifikatsschreiben, das abgeschlossene Tests und Sicherheitslage bestätigt, falls es sauber ist. Compliance und Ethik umfassen: autorisierte Tests, bei denen alle Aktivitäten mit schriftlicher Genehmigung und definiertem Umfang durchgeführt werden, verantwortungsbewusste Offenlegung der Befunde privat nach koordinierter Offenlegung von Schwachstellen, Datenschutz, das Nicht-Extrahieren oder Aufbewahren sensibler Kundendaten sowie rechtliche Einhaltung gemäß CFAA, DSGVO und anderen geltenden Gesetzen. Perfekt für SaaS-Unternehmen, die sich auf Sicherheitsaudits oder -zertifikate (SOC 2, ISO 27001), Fintech-Anwendungen, die Finanzdaten für PCI-DSS-Konformität benötigen, Gesundheitsanwendungen, die PHI verarbeiten, die eine HIPAA-Sicherheitsvalidierung benötigen, und Unternehmen, die jährliche Sicherheitsbewertungen oder Due Diligence vor der Übernahme durchführen.</p>

Details anzeigen
Анна Морозенко
Freiberufler

Website-Sicherheitsaudit & Härtung

<p>Schützen Sie Ihre Website vor Hackern, Malware und Datenpannen mit umfassender Sicherheitsbewertung und Umsetzung von Best Practices. Dieser Sicherheitsdienst umfasst: einen ersten Sicherheitsscan mit automatisierten Tools (Sucuri, Wordfence, Qualys), Schwachstellen, Malware oder Sicherheitsprobleme zu identifizieren, manuelle Penetrationstests zum Versuch häufiger Angriffsvektoren (SQL-Injektion, XSS, CSRF), das Auffinden von Schwachstellen, automatisierte Scans und Risikobewertungen, die Schwachstellen nach Schwere und potenziellen Geschäftsauswirkungen priorisieren. Die Erkennung und Entfernung von Malware umfasst: Dateiintegritätsscan, der Website-Dateien mit sauberen Versionen vergleicht, unautorisierte Änderungen erkennt, Malware-Signaturabgleich zur Identifizierung bekannter Malware-Stämme oder Hintertüren im Code, Code-Review, die verdächtige Dateien manuell auf obfuskierten Code oder versteckten Exploits überprüft, sowie Malware-Entfernung, Reinigung infizierter Dateien und Identifizierung von Einstiegspunkten, die eine erneute Infektion verhindern. Schwachstellen-Patches umfassen: CMS-Updates, die WordPress, Joomla, Drupal oder andere CMS auf die neueste sichere Version aktualisieren, Plugin-/Theme-Updates, die alle Erweiterungen auf aktuelle Versionen patchen und bekannte Sicherheitslücken schließen, Abhängigkeitsupdates, die sicherstellen, dass Bibliotheken wie jQuery, PHP oder Node-Pakete aktuell sind, sowie benutzerdefinierte Code-Fixes, die Sicherheitsprobleme in eigens entwickelten Funktionen oder Integrationen beheben. Härtung der Zugriffskontrolle umfasst: starke Passwortrichtlinien, die komplexe Passwörter erzwingen, und Mehrfaktor-Authentifizierung für Administratorkonten, Benutzerberechtigungsprüfungen, die Benutzerrollen überprüfen, unnötige Rechte nach dem Prinzip des Least-Privileg-Prinzips, inaktive Kontobereinigung, die alte Konten früherer Mitarbeiter oder Auftragnehmer deaktiviert, sowie die Verschleierung von Admin-URLs, die Standard-Login-URLs ändern, was automatisierte Angriffe erschwert. Server- und Hosting-Sicherheit umfasst: SSL/TLS-Konfiguration, Installation oder Upgrade von SSL-Zertifikaten, die HTTPS mit starker Verschlüsselung (TLS 1.2+) gewährleisten, Firewall-Einrichtung mit Webanwendungsfirewall (WAF), die bösartigen Datenverkehr vor Erreichen der Website blockiert, Dateiberechtigungen setzen, korrekte Berechtigungen setzen, unbefugte Dateiänderungen verhindern, sowie Verzeichnisindexierung, die Verzeichnis-Browsing deaktivieren und die Dateistruktur vor Angreifern verbergen. WordPress-spezifische Härtung (sofern zutreffend) umfasst: wp-config.php Absicherung der Konfigurationsdatei mit Sicherheitsschlüsseln, Deaktivierung von Dateibearbeitung und Änderungen der Datenbankpräfixe, XML-RPC-Deaktivierung, wenn nicht erforderlich, um Brute-Force- und DDoS-Angriffe über diesen Endpunkt zu verhindern, Login-Schutz durch Rate Limiting, CAPTCHA oder IP-Whitelisting, um Brute-Force-Angriffe zu verhindern, sowie Admin-Bereichsbeschränkungen, die den Zugriff per IP einschränken oder zusätzliche Authentifizierung erfordern. Datenbanksicherheit umfasst: SQL-Injektionsprävention, Validierung und Bereinigung aller Datenbankanfragen, um unbefugten Datenzugriff zu verhindern, Datenbankzugangsdaten mit starken, eindeutigen Passwörtern, die außerhalb des Web-Root gespeichert sind, Datenbankpräfix, das die Tabellenpräfix vom Standard ändert und automatisierte Angriffe erschwert, sowie Backup-Verschlüsselung, Datenbank-Backups, die sensible Kundendaten schützen. Die Backup-Implementierung umfasst: automatisierte Backups zur täglichen oder wöchentlichen Konfiguration von Backups an externen Standorten (Cloud-Speicher, Remote-Server), Backup-Tests, das regelmäßige Wiederherstellen der Backups in die Staging-Umgebung zur Überprüfung der Integrität, Aufbewahrungsrichtlinien, das Einrichten von Backup-Rotationen, 30–60 Tage Haltbarkeit, um Wiederherstellungsoptionen zu gewährleisten, sowie einen Notfallwiederherstellungsplan, der Wiederherstellungsverfahren für eine schnelle Wiederherstellung nach einem Datenbruch dokumentiert. Sicherheitsüberwachung umfasst: Uptime-Überwachung, Warnungen für Website-Ausfall, Erkennung von Angriffen oder technischen Fehlern, Überwachung, Nachverfolgung von Änderungen an Kerndateien mit Warnungen bei unautorisierten Änderungen, Malware-Scans, Planung, regelmäßige Scans, frühzeitige Erkennung von Infektionen sowie Blacklist-Überwachung, um zu prüfen, ob Ihre Seite auf Google-, Norton- oder anderen Blacklists erscheint, die den Ruf beeinflussen. Header und Richtlinien umfassen: Sicherheitsheader zur Implementierung von CSP, X-Frame-Options, X-XSS-Protection zur Verhinderung von Clickjacking- und XSS-Angriffen, HSTS-Konfiguration zur Erzwingung von HTTPS-Verbindungen zur Verhinderung von Man-in-the-Middle-Angriffen, Referrer-Policy-Kontrolle über Informationen, die an Dritte gesendet werden, zum Schutz der Benutzerprivatsphäre sowie Feature-Policys, die unnötige Browserfunktionen deaktivieren und die Angriffsfläche verringern. Die Überprüfung der Drittanbieterintegration umfasst: API-Sicherheitsaudits, API-Schlüssel, OAuth-Implementierungen zur sicheren Kommunikation mit externen Diensten, Zahlungsgateways zur Validierung der PCI-DSS-Konformität für Zahlungsabwicklung, Schutz von Kundenkartendaten, Tracking-Skripte zur Überprüfung von Analysen, Werbung oder Social-Media-Skripten auf Sicherheitsrisiken oder Datenlecks sowie CDN-Konfiguration, die das Content-Delivery-Netzwerk absichert und Cache-Vergiftung oder -kaperung verhindert. Codesicherheit umfasst: Eingabevalidierung, die serverseitige Validierung für alle Benutzereingaben implementiert und Code-Injektionen verhindert, Ausgabekodierung, die Ausgaben in HTML, JavaScript entweicht, SQL-Kontexte, die XSS-Angriffe verhindern, CSRF-Schutz, der Tokens zu Formularen verhindert, und Sitzungssicherheit, die Sitzungscookies mit httpOnly-, Secure- und SameSite-Flags absichert. Compliance und Standards umfassen: DSGVO-Bereitschaft, falls zutreffend, Gewährleistung der Cookie-Einwilligung, Datenschutzrichtlinie und Datenschutzmaßnahmen, PCI DSS bei Zahlungsabwicklung, Überprüfung der Einhaltung der Sicherheitsstandards der Kartenbranche, HIPAA bei der Verarbeitung von Gesundheitsdaten, Implementierung von Verschlüsselung und Zugriffskontrollen zum Schutz von PHI sowie branchenspezifische Best Practices nach OWASP Top 10 Richtlinien zur Adressierung der wichtigsten Websicherheitsrisiken. Sicherheitsdokumentation umfasst: Schwachstellenbericht, der alle festgestellten Probleme mit Schweregradbewertungen und Beseitigungsschritten dokumentiert, eine Härtungscheckliste mit allen im Vorher/Nachher-Status umgesetzten Sicherheitsmaßnahmen, einen Vorfall-Reaktionsplan, der Verfahren zur Reaktion auf Sicherheitsverletzungen oder Kompromittierungen enthält, sowie Sicherheitsrichtlinien zur Ausarbeitung von Sicherheitsrichtlinien für Ihr Team oder Ihre Entwickler, die die Sicherheit gewährleisten. Nach der Behebung gehören: erneutes Scannen der Verifizierung, der Durchführung eines Sicherheitsscans nach Korrekturen zur Bestätigung der behobenen Schwachstellen, Ausstellung von Sicherheitszertifikaten, Sicherheitsabzeichen oder Siegel für die Website, wenn sie sauber ist und das Kundenvertrauen aufbaut, 30-tägige Überwachung einschließlich 30-tägiger Überwachung nach der Härtung zur Erkennung neuer Probleme, sowie vierteljährliche Überprüfungen, optionale, laufende Sicherheitsprüfungen alle 3-6 Monate zur Aufrechterhaltung des Schutzes. Schulungen und Schulungen umfassen: Sicherheitstrainings zur Aufklärung Ihres Teams in Passworthygiene, Phishing-Bewusstsein und sichere Praktiken, administrative Best Practices zur Dokumentation von Verfahren für Updates, Backups und Zugriffsmanagement sowie Vorfallverfahren zur Schulung des Teams zur Erkennung und Reaktion auf Sicherheitsvorfälle. Perfekt für E-Commerce-Websites, die Kundenzahlungen und persönliche Informationen schützen, Mitgliedschaftsseiten, die Benutzerkonten und private Inhalte sichern, Unternehmenswebsites, die Vertrauen pflegen und Blacklistings oder Hacks vermeiden, sowie Agenturen, die Kundenwebsites verwalten, die sicherstellen, dass alle Immobilien sicher und konform sind.</p>

Details anzeigen

Cookie-Zustimmung

Wir verwenden Cookies, um Ihnen das beste Erlebnis auf unserer Website zu ermöglichen. Wesentliche Cookies sind immer aktiv. Datenschutzbestimmungen lesen

Wesentliche Cookies (immer aktiv) Erforderlich

  • freela-session: Laravel-Sitzung für Authentifizierung und Statusverwaltung
  • XSRF-TOKEN: CSRF-Schutz-Token
  • cookie_consent: Speichert Ihre Cookie-Präferenz

Nicht-wesentliche Cookies

  • theme: Speichert Ihre Präferenz für den Dunkel-/Lichtmodus