What is a pentest in simple terms?

A pentest is a legal simulation of a real cyber attack. Specialists try to hack into your systems under contract to identify weaknesses before actual attackers find them.

How long does a pentest take?

Typically 2 to 6 weeks depending on scope: a single web application takes around 2 weeks, complex infrastructure or Red Team engagements run 4 to 6 weeks.

Is it safe to run a pentest on a live production system?

Yes. We agree on scope, timing, and methods in advance, use safe techniques, and can work against a production replica when needed.

What do I get at the end?

A detailed report with vulnerability descriptions, proof-of-concept exploits, CVSS scoring, and step-by-step remediation guidance.

Wir prüfen, ob Angreifer in Ihr Unternehmen eindringen, bevor Sie es bemerken.

PWN-ALL ist ein Team von ethischen Hackern. Wir greifen Ihre Systeme legal an, um Schwachstellen zu finden, bevor echte Angreifer sie entdecken.

Audit anfordern Was ist ein Penetrationstest?

kritische CVEs offengelegt: 340+
Kunden gesichert: 120
Durchschnittliche Bearbeitungszeit: 14 Tage

Bedrohungslage · heute

Die Zahlen hinter
jeder Sicherheitsverletzung.

60%

der Sicherheitsverletzungen sind auf menschliches Versagen zurückzuführen

44%

der Sicherheitsverletzungen stehen im Zusammenhang mit Ransomware

↑ 37 % im Vergleich zum Vorjahr

88%

der Angriffe auf Webanwendungen nutzen gestohlene Zugangsdaten

+34%

Anstieg bei der Ausnutzung von Sicherheitslücken

der Sicherheitsverletzungen betreffen mittlerweile Dritte – doppelt so viele wie im Vorjahr

22.052

weltweit analysierte Sicherheitsvorfälle

OWASP Top 10✱ PTES✱ NIST SP 800-115✱ MITRE ATT&CK✱ Red-Team-Operationen✱ Zero-Day-Forschung✱ OWASP Top 10✱ PTES✱ NIST SP 800-115✱ MITRE ATT&CK✱ Red-Team-Operationen✱ Zero-Day-Forschung✱

01 /

Ein Pentest ist
die Sicherheitsüberprüfung
für Ihre digitale Tür.

Die Haus-Analogie

Bevor Sie in ein neues Haus einziehen, überprüfen Sie die Schlösser, Fenster und die Alarmanlage. Ein Penetrationstest macht genau das – nur eben für Ihre Website, Ihre Anwendung und Ihr Netzwerk.

Kontrollierter Angriff

Unsere Spezialisten greifen Ihre Infrastruktur genauso an, wie es ein echter Hacker tun würde – allerdings im Auftrag, ohne Schaden anzurichten und mit einem umfassenden Bericht am Ende.

Bericht + Behebung

Sie erhalten einen detaillierten Bericht: Was wir gefunden haben, wie gefährlich es ist und wie man es behebt. Kein Füllmaterial – nur Maßnahmen.

ohne Penetrationstest

Sie erfahren erst nach dem Datenleck von der Sicherheitslücke

⚠ Verlust von Kundendaten
⚠ Betriebsausfälle zu Spitzenzeiten
⚠ Bußgelder
⚠ Reputationsschaden

Risikostufe

92 %

mit Penetrationstest

Sie schließen die Lücken vor dem Angriff

✓ Schwachstellen gefunden und behoben
✓ Das Team weiß, wie es reagieren muss
✓ Einhaltung von Sicherheitsstandards
✓ Vertrauen von Kunden und Partnern

Risikostufe

14 %

02 /

So funktioniert es.
Fünf Schritte zu einer sicheren Infrastruktur.

01

Umfang & Briefing

Wir besprechen, was getestet werden soll, welche Systeme kritisch sind und wo die Grenzen liegen. Wir unterzeichnen eine Vertraulichkeitsvereinbarung und vereinbaren die Rahmenbedingungen.
1–3 Tage
02

Erkundung & Kartierung

Wir erfassen die Angriffsfläche: welche Dienste exponiert sind, welche Technologien verwendet werden und wo die schwachen Einstiegspunkte liegen.
3–5 Tage
03

Ausnutzung

Wir nutzen Schwachstellen auf sichere Weise aus: Wir untersuchen, wie weit ein echter Angreifer realistisch gesehen in Ihre Systeme vordringen könnte.
5–14 Tage
04

Bericht

Wir liefern einen zweistufigen Bericht: eine Zusammenfassung für die Geschäftsleitung und technische Details für das Entwicklerteam.
3–5 Tage
05

Nachprüfung & Support

Nach Ihren Korrekturen führen wir einen erneuten Test durch, um sicherzustellen, dass die Sicherheitslücken geschlossen sind. Wir stehen für Fragen zur Verfügung.
2–3 Tage

03 /

Der Spielplatz.
Versuchen Sie selbst, sie anzugreifen.

Vier praktische Demos zeigen, wie Angreifer Schwachstellen finden – und wie schnell das oft geht. Jede Demo ist sicher, läuft in Ihrem Browser und ist zu 100 % harmlos.

Runde 1 / 10 Punktzahl 0/10 einfach

Spielanleitung

Zehn Code-Schnipsel aus der Praxis, von einfach bis schwer , in PHP, Python, Node.js, Rust, Go und SQL. Einige verbergen eine klassische Schwachstelle, andere sind nur knifflige Logik, wieder andere sind wirklich sauber. Markiere, was du siehst – ein Punkt pro richtiger Meldung.

Punkte

9–10/10 – Du würdest ein Vorstellungsgespräch für eine leitende Position im Bereich AppSec bestehen.
6–8/10 – solider Prüfer, noch Raum für Verbesserungen.
3–5/10 – Die Grundlagen sind vorhanden, die Feinheiten entgehen dir.
0–2/10 – Durchsuche dein Repo heute Abend nach md5().

Worauf du achten solltest

Injection (SQL, Befehl, NoSQL) · fehlerhafte Authentifizierung · fest codierte Geheimnisse · IDOR · SSRF · Pfadtraversal · schwache Verschlüsselung · Race Conditions · unsichere Deserialisierung · fehlende Authentifizierungsprüfungen.

hydra -L users.txt -P common-list-100k.txt BRUTE

Ziel https://acme-corp.local/login

Wortliste common-list-100k.txt (99.738 Einträge)

Benutzer Admin · Root · Benutzer · Jerry · Sarah · Mike

// Klicke auf „Angriff starten“, um die Simulation zu starten

Was gerade passiert ist

Ein klassischer Credential-Stuffing-Angriff. Der Angreifer lässt eine Wortliste mit 100.000 Passwörtern auf gängige Benutzernamen los. Wenn ein 403-Fehler zurückkommt – meist aufgrund von Ratenbegrenzung –, wechselt das Tool durch einen Proxy-Pool und macht weiter.

Das Warnsignal

keine WAF · keine Ratenbegrenzung · keine Anomalieerkennung

Tausende fehlgeschlagene Anmeldeversuche von wechselnden IP-Adressen sollten jedes Dashboard aufleuchten lassen. Hier löst nichts Alarm aus. Schließlich trifft ein Passwort.

Abwehr

Ratenbegrenzung pro Konto (nicht pro IP), MFA hinzufügen, Warnung bei geografischen Anomalien, bekannte Proxy-Pools sperren und CAPTCHA nach N Fehlversuchen verlangen.

Runde 1 / 10 Punktzahl 0/10

10 moderne Phishing-Köder

Zehn Szenarien basierend auf den wichtigsten Techniken, die 2025–2026 beobachtet wurden: OAuth-Gerätecode, QR-Code-Quishing, Missbrauch von Google Kalender/Meet/Formularen, AiTM-Reverse-Proxys, klassisches BEC, AI-Stimmklon-Vishing mit VoIP-Anrufer-ID-Spoofing und mehr. Eine Runde = ein Muster aus der Praxis.

Bewertung

9–10/10 — Sie würden diese in der Produktion erkennen.
6–8/10 – Solide Instinkte, aber noch Raum für Verbesserungen.
3–5/10 – Eine Phishing-resistente MFA-Implementierung steht auf Ihrer Roadmap.
0–2/10 – Ihr Postfach ist ein Sicherheitsrisiko, das nur darauf wartet, ausgenutzt zu werden.

Die neue Realität

Phishing findet nicht mehr nur per E-Mail statt. Stimmen lassen sich aus 3 Sekunden Audio klonen. Die Anrufer-ID lässt sich über VoIP (Twilio, 3CX, Asterisk) mühelos fälschen. KI-generierte Phishing-Mails haben eine um 60 % höhere Klickrate. Die Überprüfung der Absenderdomain reicht nicht mehr aus.

nmap -sV <Ziel> SCAN

// Wählen Sie ein Ziel aus und klicken Sie auf „Starten“

curl -I <Ziel> PROBE

Entwicklerteams veröffentlichen Code schnell und vergessen manchmal, ihn zu bereinigen. Wählen Sie einen vergessenen Pfad und sehen Sie, was ein Angreifer dahinter findet.

dev.acme-corp.com

// Klicken Sie auf einen der oben genannten Pfade, um ihn zu testen

Was ist los

Jeder Pfad entspricht einer realen Kategorie von Sicherheitslücken. Angreifer setzen Tools wie dirsearch oder ffuf ein, die innerhalb von Sekunden Tausende dieser Pfade durchprobieren – wenn auch nur einer einen 200 OK-Status zurückgibt, ist das Spiel vorbei.

Die Folge

Ein einziger offengelegter .git -Ordner ermöglicht es einem Angreifer, Ihre gesamte Quellcode-Historie zu rekonstruieren – einschließlich gelöschter Commits mit Geheimnissen.

Abwehr

Blockieren Sie Dotfiles und Entwicklungsverzeichnisse am Rand (Nginx / WAF), führen Sie automatisierte Leck-Scanner in der CI aus und stellen Sie sicher, dass die Build-Artefakte sauber sind.

subfinder -d <domain> | httpx RECON

// Drücke „Enumerate“, um die Subdomain-Erkennung zu starten

Der erste Schritt des Angreifers

Zunächst einmal kartiert ein Pentester Ihre Angriffsfläche. Jede vergessene Subdomain ist ein potenzieller Einstiegspunkt – ein Staging-Server, ein altes internes Tool, ein Wiki.

So funktioniert es

subfinder > dnsx > httpx > nuclei

Certificate Transparency-Protokolle, DNS-Brute-Force-Angriffe und passive Quellen liefern Subdomains, an deren Veröffentlichung sich niemand mehr erinnert.

Achten Sie auf

Alles, was mit „dev“, „staging“, „test“, „old“ oder „admin“ gekennzeichnet ist. Diese Seiten verfügen selten über die Sicherheitsvorkehrungen Ihrer Hauptseite.

mobscan :: statische Analyse (.apk / .ipa) MOBSF

Wählen Sie eine App zum Scannen

Keine App ausgewählt

// Wählen Sie oben eine App aus und klicken Sie auf „Scan starten“, um die statische Analyse zu beginnen

Was das tatsächlich bewirkt

Echte Mobile-Pentester entpacken .apk- und .ipa-Archive (das sind einfach ZIP-Dateien), dekompilieren den Bytecode mit Tools wie jadx, apktool oder MobSF und durchsuchen dann den dekompilierten Quellcode nach Geheimnissen, Endpunkten und unsicheren Mustern.

Warum das wichtig ist

Laut dem „2025 Mobile Threat Report“ von Zimperium enthalten fast die Hälfte aller mobilen Apps immer noch fest codierte Geheimnisse, 60 % der iOS-Apps verfügen über keinen Schutz gegen Reverse Engineering und jede dritte Android-App gibt sensible Daten preis.

Worauf wir achten

Fest codierte API-Schlüssel und Tokens · AWS-/Stripe-/Firebase-Geheimnisse · private Backend-Endpunkte · aktivierte Debug-Flags · deaktiviertes Certificate Pinning · fehlende Rate-Limit-Header · allowBackup="true" · exported="true" -Aktivitäten.

04 /

Dienste.
Für jede Angriffsfläche.

Web-Pentest

Testen von Webanwendungen und APIs nach der OWASP-Methodik. SQLi, XSS, IDOR, SSRF, Logikfehler – alles, was ein Angreifer ausnutzen könnte.

— OWASP Top 10 + Geschäftslogik
— Authentifiziert & nicht authentifiziert
— API / GraphQL / WebSocket
— Manuelle + automatisierte Analyse

beliebt

Netzwerk-Pentest

Externer und interner Perimeter. Wir untersuchen, wie weit ein Angreifer vordringen kann – vom Internet aus oder sobald er sich bereits im Büro befindet.

— Extern & Intern
— AD-/Domänenkompromittierung
— Ausweitung von Berechtigungen
— Laterale Bewegung

Red Team

Umfassende APT-Simulation. Social Engineering, Phishing, physischer Zugriff – wir testen nicht nur Systeme, sondern auch Ihre Mitarbeiter.

— MITRE ATT&CK TTPs
— Phishing & Vishing
— Physisches Eindringen
— Zusammenarbeit mit dem Purple Team

05 /

Warum PWN-ALL.

Wir sind kein Schwachstellenscanner. Wir sind ein Team, das wie ein Angreifer denkt. Jeder Auftrag wird von Ingenieuren geleitet, die über echte Red-Team- und Bug-Bounty-Erfahrung verfügen.

95%
der kritischen Befunde treten innerhalb der ersten 2 Wochen zutage: 120+
Unternehmen haben uns ihre Infrastruktur anvertraut: 340+
kritische CVEs in unseren Berichten dokumentiert: 72Std
maximale Reaktionszeit bei dringenden Anfragen

Risiko vs. Zeit – nach dem Penetrationstest

hohemittelniedrig

Ohne Penetrationstest bleibt das Risiko konstant hoch – nach unserem Audit sinkt es innerhalb eines Monats um 78 %.

06 /

Sind Sie bereit,
Ihre Infrastruktur mit den Augen eines Angreifers zu betrachten?

Schreiben Sie uns direkt – kein Formular, kein Aufwand. Kostenlose 30-minütige Beratung, Umfangsbestimmung und Zeitplan-Schätzung innerhalb eines Werktags.

✓ Wir unterzeichnen zuerst die Vertraulichkeitsvereinbarung
✓ Kein Spam, keine Kaltakquise
✓ Antwort innerhalb von 24 Stunden

// Kanal auswählen

E-Mail hello@pwn-all.com pgp

Signal Verschlüsselter Kanal

nda_first · Antwort < 24 Std. · keine_Verkaufsanrufe

Wir prüfen, ob Angreifer in Ihr Unternehmen eindringen, bevor Sie es bemerken.

Die Haus-Analogie

Kontrollierter Angriff

Bericht + Behebung

Umfang & Briefing

Erkundung & Kartierung

Ausnutzung

Bericht

Nachprüfung & Support

—

—

Risiko vs. Zeit – nach dem Penetrationstest

Sind Sie bereit,Ihre Infrastruktur mit den Augen eines Angreifers zu betrachten?

Sind Sie bereit,
Ihre Infrastruktur mit den Augen eines Angreifers zu betrachten?