NULLSEKTOR

// Leistungen

Offensive Security, die hält, was sie verspricht

Vom fokussierten Web-Pentest bis zur mehrwöchigen Red-Team-Operation: Sie bekommen reproduzierbare Funde, klare Prioritäten und Fixes, die Ihr Team wirklich umsetzen kann.

Projekt anfragenReferenzen ansehen

Was wir für Sie testen

Jeder Auftrag ist überwiegend Handarbeit. Tools beschleunigen die Aufklärung — die Angriffsketten bauen erfahrene Tester.

Web- & API-Penetrationstest

OWASP Top 10 und darüber hinaus: Auth-Bypässe, Broken Access Control, Injection und Business-Logic-Fehler. Wir testen authentifiziert und unauthentifiziert.

Interne Netzwerk- & AD-Tests

Vom kompromittierten Arbeitsplatz zum Domain-Admin: Lateral Movement, Kerberos-Angriffe und Fehlkonfigurationen in Active Directory.

Mobile- & Client-Security

Android und iOS: unsichere Datenspeicherung, schwache Zertifikatsprüfung und manipulierbare Clients samt ihrer Backends.

Red-Team-Operation

Zielgerichtete, mehrwöchige Simulation inklusive Social Engineering — gemessen an der Erkennungsleistung Ihres Blue Teams.

Cloud- & Container-Review

AWS-, Azure- und Kubernetes-Härtung: IAM-Fehlkonfigurationen, offene Buckets und ausbruchsfähige Container.

Source-Code-gestützter Test

Whitebox-Analyse kritischer Komponenten — wir lesen den Code dort, wo Blackbox an Grenzen stößt.

Klarer Ablauf, keine Überraschungen

  1. Scoping & Rules of Engagement. Schriftlich fixierter Rahmen, Zeitfenster und Eskalationsweg.
  2. Durchführung. Manuelle Exploitation mit täglichem Statusbericht und Sofortmeldung kritischer Funde.
  3. Bericht & Debrief. Management-Summary plus technischer Teil mit Nachweis und Fix je Finding.
  4. Kostenfreier Re-Test. Wir prüfen Ihre Korrekturen nach und bestätigen die Behebung.

Pakete als Orientierung

Jedes Projekt wird individuell zugeschnitten — diese Stufen geben Ihnen ein Gefühl für Umfang und Tiefe.

Fokus-Test

Eine klar abgegrenzte Anwendung.

  • 1 Web- oder API-Ziel
  • Manuelle Exploitation
  • Bericht mit Fix-Empfehlungen
  • Re-Test inklusive

Standard-Engagement

Der gängige Umfang für Produktteams.

  • Mehrere Ziele oder internes Netz
  • Authentifizierte Tests
  • Management-Summary + Technikteil
  • Debrief-Workshop
  • Re-Test inklusive

Red-Team

Realistischer Ernstfall über Wochen.

  • Zieldefiniertes Angriffsmandat
  • Social Engineering optional
  • Detection-Bewertung
  • Purple-Team-Abschluss

Häufige Fragen vor dem Start

Stört der Test unseren Produktivbetrieb?
Wir testen in abgestimmten Zeitfenstern und vermeiden destruktive Techniken auf Produktivsystemen, sofern nicht ausdrücklich freigegeben.
Bekommen wir die Funde sofort oder erst im Bericht?
Kritische Schwachstellen melden wir innerhalb von 24 Stunden direkt — der vollständige Bericht folgt am Projektende.
Unterzeichnen Sie eine Vertraulichkeitsvereinbarung?
Selbstverständlich. NDA und Auftragsverarbeitung sind fester Bestandteil jedes Engagements.

Welcher Umfang passt zu Ihrer Angriffsfläche?

Schildern Sie uns kurz Ihr System — wir schlagen einen realistischen Testumfang vor.

Unverbindlich anfragen