Steffen Sanwald

Freiberuflicher Experte
für IT-Security

Mein Portfolio Cybersecurity Experte

Pakete zur Absicherung Ihres Webservices

Mit meinem Angebot an Dienstleistungen und dem Fokus auf Qualität und Kundenzufriedenheit bin ich der ideale Partner für die Absicherung ihres Webservices. Schauen Sie sich jetzt meine Leistungspakete an oder kontaktieren Sie mich direkt, um gemeinsam eine passende Lösung für Ihre Bedürfnisse zu finden. Die Preise der vorgestellten Pakete lasse ich Ihnen gerne auf Anfrage zukommen oder erstelle ein individuelles Leistungspaket zugeschnitten auf Ihre Anforderungen.

Basis-Schutz

Automatisierter Penetrationtest mithilfe von state-of-the-art Tools und Dokumentation.

Comfort-Schutz

Basis-Schutz + Manuelle Penetrationstests auf Use-Cases des Kunden zugeschnitten.

Premium-Schutz

Comfort-Schutz + Interaktives Secure Coding Training für Entwickler mit praktischen Beispielen.

IoT-Schutz

Hardware-basierte Tests für Internet-of-Things Geräte ihres (Web-)Service

Bausteine der Schutz Pakete

Als Penetrationstester nehme ich die Rolle eines Angreifers ein, um gezielt nach Schwachstellen in Ihrem System zu suchen. Der vorab gemeinsam festgelegte Umfang ("Scope") definiert, welche Systeme während des Tests angegriffen werden sollen und welche nicht. Dabei sind sowohl Tests mit Detailinformationen über das Zielsystem ("Whitebox Test"), als auch ohne Informationen ("Blackbox Tests") möglich. Von aufgedeckten Schwachstellen werden konkrete Handlungsempfehlugen für den Kunden abgeleitet, damit diese behoben werden können, bevor ein krimineller Angreifer diese ausnutzen kann. Gerne biete ich für Ihre Entwickler auch Secure Coding Trainings an, um Schwachstellen zu vermeiden, bevor diese überhaupt entstehen.
Bei jedem Paket ist die Ausstellung eines Zertifikats als Nachweis der Durchführung enthalten.

Basis-Schutz für Webservices und e-Commerce Systeme

Basis-Schutzpaket

Der automatisierte Basis-Schutz eignet sich ideal als Security Test für klassische Webservices, E-Commerce Shops oder cloudbasierten Webanwendungen. Der automatisierte Test nutzt state-of-the-art Security Tools. Die Auswahl der Tools wird an das zu untersuchende Zielsystem angepasst.

  • Reconnaissance: Suche nach exponierten Services und Inhalten mit Tools wie Nmap, Dirb,.. für im Scope festgelegten Zielsysteme.
  • Exploitation: Aktive Suche nach Schwachstellen beispielsweise SQL-Injections, Cross-Site-Scripting (XSS),.. mittels BurpSuite, SQLmap,OWASP ZAP.
  • Auslastungstest: Simulation von DDoS-Attacken um die Skalierbarkeit und Belastung des Zielsystems zu untersuchen.
  • Report: Erstellung einer Dokumentation mit gefundenen Schwachstellen, Bewertung der Kritikalität nach CVE Modell, sowie Vorschläge für Präventionsmaßnahmen.
Basis-Schutz für Webservices und e-Commerce Systeme

Comfort-Schutzpaket

Der Comfort-Schutz ergänzt den Basis-Schutz um manuelle Security-Tests. Gemeinsam mit dem Kunden werden hierfür besonders kritische oder vom Kunde selbstentwickelte Code Fragmente als Scope definiert.

  • Manueller Test: Präparierung und Testen von Schadcode für Ziele wie File-Upload, Authentifizierung/Autorisierung, Plugins des CMS/E-Commerce Shops.
  • Code Review: Relevante Snippets des Quellcodes (PHP, JavaScript, Webserver Configs,..) werden gezielt auf Schwachstellen und Fehlkonfigurationen überprüft.
  • Statische Code Analyse: Überprüfung der Einhaltung von Secure-Coding Richtlinien für Webanwendungen in PHP und JavaScript.
Training Secure Coding für Webentwickler

Premium-Schutzpaket

Der Premium-Schutz rundet den Comfort-Schutz mit einem Secure Coding Training für Webentwickler ab. Schwachstellen in Webanwendungen können es Angreifern ermöglichen sensible Informationen aus Datenbanken auszulesen, zu manipulieren oder dem Angreifer Zugriff auf den ganzen Server zu verschaffen. Der Großteil aller Angriffe nutzt dabei bekannte und häufig auftretende Schwachstellen von Web Anwendungen aus.

Durch ein Training sollen Webentwickler für das Thema Secure Coding sensibilisiert werden, um die Sicherheit Ihres Codes zu erhöhen und um Schwachstellen zu vermeiden, bevor diese entstehen. Folgende Themen werden u.a. im Training behandelt:

  • OWASP TOP 10: Analyse der häufigsten Schwachstellen im Web (JavaScript,PHP,SQL,..)
  • Kundensystem spezifisch: Individuell aufbereitete typische Schwachstellen für Use-Cases/Programmiersprachen des Kunden.
  • Verteidigung: Techniken zur Vermeidung der analysierten Schwachstellen.
  • Interaktive Beispiele: Präsentation & exemplarische Ausnutzung der Schwachstellen.
Pentest IoT Security

IoT-Schutzpaket

IoT-Geräte können den Automatisierungsgrad von alltäglichen Prozessen im privaten und im Business Kontext steigern, erhöhen aber zugleich die Angriffsfläche signifikant. Schlecht abgesicherte IoT-Geräte können dadurch zum Einfallstore in Heimnetzwerke oder in Cloud/Backend Systeme werden.

Für Hersteller und Betreiber von IoT-Geräten/Dienstleister biete ich im Rahmen eines Penetrationstest die Analyse für u.a. folgende Schwerpunkte an:

  • Direkte Schnittstellen: Angriffe auf Hard-/Software (JTAG, SPI,Netzwerkports,..)
  • Backend Integration: Sicherheit der Kommunikation zwischen IoT-Gerät und Cloud/Backend
  • Firmware Analyse: Reverse Engineering & Linux System Hardening Check

Über mich

Meine mehrjährige Erfahrung als IT-Security Experte ermöglicht es mir schnell Schwachstellen aller Art in komplexen Softwaresystemen zu analysieren. Ich kenne sowohl Verteidigungsstrategien durch meine frühere Tätigkeit als IT-Security Consultant, als auch die Perspektive von Angreifern durch meinen Job als Penetrationstester.

Pentest Webservices und e-Commerce Systeme

Persönliches

31 Jahre alt

Region Stuttgart/
Süddeutschland

Haupttätigkeit:

Senior Security Experte
bei bekanntem Automobilhersteller

Web Application Security

Konzeption und Durchführung von Web Application Security Trainings und Selbstschulungen

Aufdeckung von Schwachstellen in OpenSource Projekten, sowie proprietären Plugins bekannter Webplattformen

Master of Science IT-Security

Abschluss an der Technischen Universität Darmstadt

Titel der Masterarbeit: Side-Channel Analysis in the automotive domain - Protecting an automotive platform against power analysis attacks

Embedded System Security

Mehrjährige Erfahrung in Penetrationstests von eingebetteten Systemen und IoT-Geräten im Umfeld von Dax Unternehmen

Expertise in der Konzeption von sicheren Software Designs und Architekturen

Durchführung internationaler & nationaler Secure Coding Trainings für eingebettete Systeme

Das sagen meine Kunden:

Dem Datenschutz verpflichtet

Diese Website sammelt oder speichert keine persönlichen Daten über die Besucher oder deren Surfverhalten. Session Cookies werden ausschließlich zur Abwehr von DDoS Angriffen und zum SPAM-Schutz verwendet. Daher kann auf das Einblenden eines Cookie Banners nach DSGVO verzichtet werden. Anfragen über das Kontaktformular werden mithilfe der aktuellsten Implementierung des PGP Standard sicher verschlüsselt übertragen und können ausschließlich von mir selbst, auf meinem lokalen Computer, entschlüsselt werden. Ihre angegebene E-Mail Adresse wird mitverschlüsselt, daher erhalten Sie keine automatisierte Eingangsbestätigung.

Kontakt

Ich übe meine selbstständige Tätigkeit nebenberuflich aus und suche präferiert Kunden für mittel- und langfristige Zusammenarbeit über mehrere Monate. Passend zu Ihren Anforderungen, können die oben genannten Leistungen individuell angepasst und erweitert werden. Wenn ich Ihr Interesse geweckt habe, kontaktieren Sie mich und wir finden gemeinsam einen Weg um Ihr Unternehmen und Ihre Produkte vor Angriffen zu schützen.

Adresse

Am Föllbach 39, 72649 Wolfschlugen, Deutschland

Email Adresse

[email protected]

Telefon

07022 9791487

Loading
Ihre Nachricht wurde erfolgreich an mich versendet. Danke!