Authentifizierung & Sitzungsverwaltung
- • Login, SSO and MFA bypass testing
- • Session-Fixierung, Hijacking und Token-Handhabung
- • Missbrauch der Passwortzurücksetzung und Kontowiederherstellung
- • Privilege escalation and access-control (IDOR) testing
Injektionen und Eingabebehandlung
- • SQL-, NoSQL-, Befehls- und Template-Injection
- • Cross-site scripting (stored, reflected, DOM)
- • Server-Side Request Forgery (SSRF)
- • Datei-Upload- und Deserialisierungsschwachstellen
Detection & Response Assessment
- • Workflow bypass, race conditions and abuse cases
- • Price/quantity tampering and checkout manipulation
- • Offenlegung sensibler Daten in Antworten und Fehlermeldungen
- • CSRF and state-changing request testing
Configuration, Components & Standards
- • Security headers, CORS, CSP and TLS review
- • Vulnerable & outdated components (SCA, 20,000+ CVEs)
- • API and web-service endpoints behind the app
- • Ausrichtung an OWASP Top 10 und SANS Top 25