Echte Ausnutzung, verifiziert, in 24 Stunden
SQUR entdeckt, nutzt aus, verifiziert und berichtet Schwachstellen in Ihren Web-Anwendungen und APIs, mit der Tiefe eines erfahrenen Pentesters und der Geschwindigkeit von Automatisierung. Festpreis 1.995 €. EU-gehostet.
Wie ein Engagement abläuft
Sie geben eine Ziel-URL an, optional Zugangsdaten für eine oder mehrere Rollen, ein Ziel und einen Scope (welche URLs erlaubt oder ausgeschlossen sind und was aktiv ausgenutzt werden darf). Dann arbeiten die Agenten sechs Phasen ab.
- Reconnaissance. Die Anwendung kartieren, Technologien erfassen, die Angriffsfläche sichtbar machen.
- Planung. Priorisierung anhand des Entdeckten und Ihrer Ziele.
- Ausnutzung. Echte Angriffe gegen wahrscheinliche Schwachstellen mit einem branchenüblichen Sicherheits-Toolchain.
- Verifizierung. Ein separater Agent testet jeden Kandidaten-Befund unabhängig erneut, über einen alternativen Weg, bevor er in Ihren Bericht gelangt.
- Deduplizierung. Gleichwertige Befunde werden zu einer sauberen, eindeutigen Liste zusammengeführt, kein Scanner-Rauschen.
- Bericht. Rollenspezifische Berichte mit reproduzierbaren Beweisen.
Neun spezialisierte KI-Agenten arbeiten als Pentest-Team zusammen (Planer, Explorer, Angreifer, Verifizierer, Scope-Enforcer, Reporter und weitere). Ein dedizierter Agent erzwingt Ihren Scope vor jeder Aktion, auf Systemebene, nicht dem Ermessen einzelner Agenten überlassen. Genau das macht produktionssicheres Testen möglich. Ein Mensch greift nur in Ausnahmefällen ein (Ziel zeitweise nicht erreichbar, komplexer Login-Flow mit Bedarf an Unterstützung), nicht als Standard in jedem Engagement.
Kontrolle, die Sie behalten
Live verfolgen
Eine Aktivitäts-Timeline zeigt, was die Agenten tun, während das Engagement läuft, Befunde erscheinen, sobald sie bestätigt sind.
Jederzeit pausieren
Pausieren Sie einen laufenden Pentest, um ein Zielsystem während des Tests zu entlasten, und setzen Sie ihn dann fort.
Abbrechen mit voller Gutschrift
Brechen Sie innerhalb der ersten 60 Minuten ab und die Gutschrift wird zurückerstattet. Sieht früh etwas falsch aus, stoppen Sie.
Retest inklusive
Lösen Sie mit einem Klick einen Retest eines behobenen Befunds aus. Der Retest ist in Ihrem Pentest enthalten.
Was abgedeckt wird
Das Testen folgt einer SQUR-Methodik, ausgerichtet an den OWASP Top 10, den OWASP API Security Top 10 und dem OWASP Web Security Testing Guide (WSTG). Authentifiziertes Testen läuft mit mehreren Nutzerrollen pro Engagement (zum Beispiel Admin, normaler Nutzer, Gast), was für Zugriffskontroll-Klassen wie IDOR und Rechteausweitung erforderlich ist.
Echte Ausnutzung, keine reine Erkennung
SQUR erreichte 87,5 % in einem unabhängigen Pentest-Benchmark und übertraf damit den besten menschlichen Pentester mit 85 %. Jeder Befund durchläuft eine unabhängige Verifizierung durch einen separaten Agenten, bevor er im Bericht erscheint.
| Schwachstellenklasse | Benchmark-Erfolg |
|---|---|
| IDOR, SQLi, SSRF, XXE, GraphQL, Geschäftslogik | 100 % |
| XSS, Rechteausweitung, Command Injection | 90 %+ |
Die Detection-Engine von SQUR wird gemeinsam mit den KASTEL Security Research Labs am Karlsruher Institut für Technologie (KIT) entwickelt. Zu den Kunden zählen Gameforge, bitExpert und Codeligence.
Was Sie erhalten
Verifizierte, deduplizierte Befunde mit reproduzierbaren Beweisen: bestätigte Schwachstellen mit dokumentiertem Ausnutzungsnachweis, keine Rohliste von Erkennungen. Vier Berichtsformate aus einem Engagement, alle als PDF und HTML mit eingebetteten Beweis-Screenshots.
| Bericht | Zielgruppe | Fokus |
|---|---|---|
| Executive | Leitung, Entscheider | Risikolage, Geschäftsauswirkung, Kernzahlen |
| Audit | Compliance und Audit | Beweise, Reproduzierbarkeit, Nachvollziehbarkeit |
| Technical | Entwickler, Engineers | Volle technische Details, Behebungshinweise |
| Full | Interne Dokumentation | Alles an einem Ort |
Jeder Befund wird angereichert mit:
Schließt ein Pentest ohne hohe oder kritische Befunde ab, können Sie ein teilbares öffentliches Zertifikat erstellen, das das Ergebnis bestätigt, ein nützlicher Nachweis für Kunden, Partner und Beschaffungsprüfungen.
Tempo, Preis und Compliance
| Tempo | 24-Stunden-Durchlauf statt 3 bis 6 Wochen bei einem klassischen manuellen Engagement. On-Demand, ohne Terminabsprachen oder Beschaffung. |
| Preis | 1.995 € Festpreis pro Pentest. Bulk 10 Credits 14.950 € (1.495 € pro Pentest, 12 Monate gültig). Ein typisches manuelles Engagement kostet 10.000 € bis 30.000 €, SQUR liegt damit rund 80 % darunter. |
| Onboarding | Self-Service, kein Sicherheits-Know-how zum Start nötig. Keine Scoping-Calls, kein Beschaffungsprozess. |
| Datenresidenz | Alle Scandaten, Befunde und Berichte werden in GCP europe-west1 (Belgien) gespeichert. DSGVO-konforme Verarbeitung. |
| Compliance-Nachweis | Die Berichte sind so aufgebaut, dass sie DSGVO, DORA Artikel 24 (jährliche Penetrationstests), ISO 27001, SOC 2 und NIS2 unterstützen. |
Pentest starten
Erstellen Sie ein kostenloses Konto und sehen Sie einen fertigen Demo-Pentest mit vollständigem Beispielbericht, dann starten Sie Ihren eigenen. Keine Scoping-Calls.