Was geprüft wird

Manuelle Analyse –
von der App bis zur Datenbank.

Eine mobile App ist so sicher wie ihr schwächstes Glied – ob das die App selbst, das Backend oder die Datenbank ist.

Alle Schichten im Blick

1

Mobile App

Android · iOS · Flutter · React Native

Client

2

API & Kommunikation

REST · GraphQL · WebSockets · TLS

Transport

3

Backend & Logik

Spring Boot · Node.js · Laravel · Django

Server

4

Datenbank

PostgreSQL · MySQL · MongoDB · Redis

Storage

5

Web Frontend

Vue.js · React · Angular

Web Client

6

Infrastruktur

Docker · Kubernetes · CI/CD · Secrets

DevOps

Mobile App

Android

Android App Security Review

Manuelle Tiefenprüfung deiner Android-App auf alle relevanten Angriffsflächen – von Datenspeicherung bis Netzwerkkommunikation.

Was geprüft wird

Datenspeicherung – Storage, Keys, Token, Credentials
Kryptografie – Algorithmen, Implementierung, Schlüssel
Netzwerkkommunikation – TLS, Zertifikate, Pinning
Reverse Engineering-Schutz – Tampering, Hooking
OWASP MASVS – vollständig nach Standard
Native AndroidAgenturenKMUs
Review anfragen →

Flutter · React Native · Ionic

Cross-Platform App Security Review

Cross-Platform-Apps teilen Logik über Plattformen hinweg – Sicherheitsprobleme entstehen oft genau im gemeinsamen Framework-Code.

Was geprüft wird

Android-Shell – native Sicherheitsebene
Framework-Code – Dart, JavaScript, C# auf Schwachstellen
API-Keys & Konfiguration – Umgang & Absicherung
Storage & Verschlüsselung – plattformübergreifend
Framework-spezifische Risiken – Flutter, RN u. a.
FlutterReact NativeIonic
Review anfragen →

Kryptografie & Datenspeicherung

Crypto & Secure Storage Review

Viele Apps verschlüsseln – aber oft falsch. Ich prüfe ob Daten wirklich sicher verschlüsselt sind und Schlüssel korrekt verwaltet werden.

Was geprüft wird

Verschlüsselungs-Algorithmen – Modi, Implementierung
Schlüsselverwaltung – Erzeugung, Speicherung, Rotation
Sichere Datenspeicherung – Keystore, SharedPrefs, DBs
Passwort & Hashing – korrekte Implementierung
Krypto-Fehlimplementierungen – typische Praxisfehler
FinanceHealthCompliance
Review anfragen →

API · Backend · Datenbank

REST · GraphQL · WebSockets

Mobile API Review

Eine App ist nur so sicher wie ihre API. Ich analysiere Authentifizierung, Zugriffsrechte und Missbrauchsmöglichkeiten an jedem Endpunkt.

Was geprüft wird

Authentifizierung & Autorisierung – Zugriffsrechte, Rollen
Token-Handling – JWT, OAuth, Session-Management
Transport-Sicherheit – TLS, Certificate Pinning
Request-Manipulation – Parameter Tampering, Injection
IDOR & Broken Access Control – OWASP API Top 10
Apps mit LoginZahlungsfunktionen
Review anfragen →

Spring Boot · Node.js · Laravel · Django

Backend & Logik Security Review

Ein unsicheres Backend macht jede sorgfältig geprüfte App angreifbar. Ich prüfe Server-Logik, Zugriffsrechte und Business-Logik auf Schwachstellen.

Was geprüft wird

Authentifizierung & Sessions – Tokens, Refresh-Logik
Zugriffsrechte – RBAC, Privilege Escalation
Business-Logik-Fehler – Race Conditions, State-Manipulation
Injection & Validierung – Input-Handling serverseitig
Fehlerbehandlung & Logging – keine sensitiven Daten in Logs
Apps mit eigenem BackendSaaS
Review anfragen →

PostgreSQL · MySQL · MongoDB · Redis

Datenbank-Sicherheitsanalyse

Datenbanken sind das wertvollste Ziel in jeder App-Infrastruktur. Ich prüfe Konfiguration, Zugriffsrechte und Datenmodell auf Schwachstellen.

Was geprüft wird

SQL/NoSQL-Injection – parametrisierte Queries, ORM
Zugriffsrechte & Rollen – Least-Privilege, Service-Accounts
Datenverschlüsselung – at rest und in transit
PII & DSGVO-relevante Felder – Handling sensibler Daten
Konfigurationssicherheit – Default-Settings, offene Ports
Relationale DBsNoSQLDSGVO
Review anfragen →

Web & Infrastruktur

Vue.js · React · Angular

Web Frontend Security Review

Web-Frontends für Admin-Dashboards oder Nutzerportale teilen oft denselben Backend-Stack wie die App – und dieselben Risiken.

Was geprüft wird

XSS-Schutz – Input-Sanitization, Content Security Policy
Token-Verwaltung – kein Access-Token im LocalStorage
CSRF-Schutz – zustandsverändernde Requests
Sensitive Daten im Frontend – API-Keys, Konfiguration
Authentifizierungs-Flow – OAuth, Session-Handling
Admin-DashboardsNutzerportaleSaaS Web-Apps
Review anfragen →

Docker · Kubernetes · CI/CD

Infrastructure & DevOps Security

Sicherheit endet nicht beim Code. Fehlkonfigurierte Container, offene Ports und unsichere Pipelines sind reale Angriffsvektoren die oft übersehen werden.

Was geprüft wird

Secrets Management – keine Credentials in Images, Repos oder Env-Variablen
Container-Berechtigungen – Least-Privilege, non-root, read-only
Netzwerksegmentierung – Container-Isolation, Port-Exposition
CI/CD-Pipeline-Sicherheit – Zugriffsrechte, Artefakt-Integrität
Konfigurationssicherheit – Mounts, Volumes, Service-Accounts
DockerKubernetesCI/CD-Pipelines
Review anfragen →

Welches Paket passt zu dir?

Alle Schichten fließen in die drei Pakete ein.

Je nach Projektgröße und Scope kombiniere ich die relevanten Bereiche – vom schnellen Einstieg bis zur vollständigen Infrastrukturanalyse.

Pakete ansehen →