Penetrationstest

7 sårbarheter hittade innan de blev ett problem

Penetrationstest

Kund

Konfidentiell klient

Typ

Extern penetrationstest

År

2025

Leveranstid

1 vecka

Utmaningen

Kunden hade byggt en mobilapp med ett REST API som backend och behövde en oberoende säkerhetsbedömning innan lansering. Testet utfördes som en black-box assessment - utan tillgång till källkod, precis som en verklig angripare skulle operera.

Metodiken följde OWASP API Security Top 10, OWASP Web Security Testing Guide och PTES. Testningen täckte autentisering, auktorisering, inputvalidering, affärslogik och konfiguration.

Lösningen

7 sårbarheter identifierades - 1 kritisk, 2 höga och 4 medelhöga. Varje fynd inkluderar CVSS-poäng och åtgärdsförslag.

Kritiskt fynd: Autentiseringsendpointen tillåter obegränsat antal inloggningsförsök utan rate limiting, kontolåsning eller CAPTCHA (CVSS 9.1). Höga fynd: Lagrad XSS i användarnamn (CVSS 8.1) och saknad e-postverifiering (CVSS 7.2). Medelhöga fynd: kontouppräkning via registrering, exponerad API-dokumentation, aktiva debug-endpoints och oautentiserad åtkomst till användardata.

Godkända kontroller: HTTPS med TLS 1.3, lösenordspolicy, admin privilege escalation blockerad, SQL Injection och Path Traversal ej sårbara, JWT-tokens korrekt signerade.

Process & Leverans

Levererat på 1 vecka. Traditionella byråer levererar liknande projekt på 8-12 veckor.

5/10

Säkerhetsbetyg

7

Sårbarheter

6

Godkända kontroller

1

Kritisk sårbarhet

Vill du ha liknande resultat?

Boka samtal
WhatsApp