About us

SektionEins is an international IT security company based in Bonn, Germany. We are specialised in identifying weaknesses and security vulnerabilities in web and mobile applications.

We offer a full range of services. This includes vendor-independent consulting, security audits and training courses.

Our service portfolio includes server-side programming languages (Java, PHP, Ruby, Perl, Python and more), client-side technologies (JavaScript, AJAX, Websockets, Flash, AIR etc.) as well as mobile platforms (iOS, Android).

SektionEins is also committed to the field of security research and has published numerous security advisories. In addition, our consultants are speakers at national and international conferences.

Beratung
  • Konzeptphase: Zu Beginn eines Projekts ist die kostengünstigste Möglichkeit an Sicherheitsthemen zu arbeiten. Wir erarbeiten passende Maßnahmen in Architektur und Softwaredesign, um übliche Fragen zu klären, z.B: Wo und wie wird verschlüsselt? Wer darf auf die Daten zugreifen?

  • In der Entwicklung: Regelmäßige Prüfungen der frisch entwickelten Software stellen sicher, dass die Software möglichst wenige Sicherheitslücken enthält.

  • Im Betrieb: Wir analysieren Prozesse im Unternehmen auf Sicherheitsaspekte, z.B. Zwei-Augen-Prinzip, Ausfallsicherheit, Zugriffsschutz, Zugangsschutz, Passwortrichtlinien.

  • Einführung von SDL: Der Secure-Development-Lifecycle kann in allen Projekten für mehr Softwaresicherheit sorgen. Unsere Berater begleiten die Einführung und lösen Probleme bei der Umstellung.

Security Audits
  • Quellcodeanalyse: Der Quellcode der Anwendung wird im Detail analysiert, um möglichst alle sicherheitsrelevanten Probleme aufzudecken.

  • Penetrationstest: Wir treten als Angreifer von außen auf. Die Anwendung wird am laufenden Testsystem automatisiert und manuell angegriffen, um die offensichtlichen Sicherheitsprobleme der Anwendung zu erkennen.

  • Infrastrukturanalyse: Komplexe Anwendungen sind von ihrer Infrastruktur abhängig. DNS, Virtualisierung, Konfiguration, VPN, Management-Interfaces, Datenbanken, Testsysteme. SektionEins untersucht die einzelnen Komponenten und erarbeitet mit dem Kunden Verbesserungsvorschläge zur Härtung und Absicherung der Systeme.

  • Ergebnis: Am Ende steht immer ein Bericht. Unsere Berichte sind entweder knapp auf den Punkt gebracht, um möglichst viel Zeit für die eigentliche Analyse aufzuwenden. Oder wir erstellen einen detaillierten Ergebnisbericht mit ausführlicher Beschreibung der aufgedeckten Schwachstellen, Behebungsempfehlung und Risikobewertung.

Schulungen und Vorträge
  • Für Entwickler: Zum Einsteigen und Auffrischen bietet SektionEins mehrtägige Schulungen, in denen wir aktuelle Themen der Websicherheit besprechen. Mit praktischen Beispielen und Übungen angereichert können Teilnehmer direkt Erlerntes anwenden und einfach für eigene Projekte adaptieren.

  • Für Systemadministratoren: Ein Grundwissen an Websicherheitsthemen ist für den Betrieb von Anwendungen nicht mehr wegzudenken. Wir vermitteln Denkanstöße und Vorgehensweisen, um Anwendungen sicher zu konfigurieren und sicher zu betreiben.

Schulungsinhalte

Workshops dauern ein oder mehrere Tage. Sie bestehen aus einführenden Vorträgen sowie einem umfangreichen praktischen Teil. Die Inhalte werden individuellen Wünschen angepasst.

Hier ein Auszug der Themen von Schulungen, die wir bereits für Kunden gehalten haben.

  • Kurz: Grundlagen HTTP und Angriffsfläche
  • Angriffe auf Webanwendungen (Information Leakage, XSS, CSRF, SQL Injektion, Code Injektion, Code Inklusion, HTTP Header Injektion, Unserialize, Logische Fehler, Clickjacking)
  • Session Management
  • Access Controls
  • Kryptographische Funktionen und Zufallszahlen
  • Fehlerbehandlung und Logging
  • Härtung von Konfiguration und Serverumgebung
  • Sicherheit im Entwicklungsprozess: Thread Modelling und SDL
  • Grundwissen Sicherheitstests und Tools zur sicheren Programmierung

Alle Vorträge und Schulungen können auch auf Englisch durchgeführt werden.

News
More...