Echte Ausnutzung, verifiziert, in 24 Stunden

SQUR entdeckt, nutzt aus, verifiziert und berichtet Schwachstellen in Ihren Web-Anwendungen und APIs, mit der Tiefe eines erfahrenen Pentesters und der Geschwindigkeit von Automatisierung. Festpreis 1.995 €. EU-gehostet.

Pentest starten Preise ansehen
24-Stunden-Durchlauf 1.995 € Festpreis 87,5 % im unabhängigen Benchmark EU-Datenresidenz (GCP Brüssel)

Wie ein Engagement abläuft

Sie geben eine Ziel-URL an, optional Zugangsdaten für eine oder mehrere Rollen, ein Ziel und einen Scope (welche URLs erlaubt oder ausgeschlossen sind und was aktiv ausgenutzt werden darf). Dann arbeiten die Agenten sechs Phasen ab.

  1. Reconnaissance. Die Anwendung kartieren, Technologien erfassen, die Angriffsfläche sichtbar machen.
  2. Planung. Priorisierung anhand des Entdeckten und Ihrer Ziele.
  3. Ausnutzung. Echte Angriffe gegen wahrscheinliche Schwachstellen mit einem branchenüblichen Sicherheits-Toolchain.
  4. Verifizierung. Ein separater Agent testet jeden Kandidaten-Befund unabhängig erneut, über einen alternativen Weg, bevor er in Ihren Bericht gelangt.
  5. Deduplizierung. Gleichwertige Befunde werden zu einer sauberen, eindeutigen Liste zusammengeführt, kein Scanner-Rauschen.
  6. Bericht. Rollenspezifische Berichte mit reproduzierbaren Beweisen.

Neun spezialisierte KI-Agenten arbeiten als Pentest-Team zusammen (Planer, Explorer, Angreifer, Verifizierer, Scope-Enforcer, Reporter und weitere). Ein dedizierter Agent erzwingt Ihren Scope vor jeder Aktion, auf Systemebene, nicht dem Ermessen einzelner Agenten überlassen. Genau das macht produktionssicheres Testen möglich. Ein Mensch greift nur in Ausnahmefällen ein (Ziel zeitweise nicht erreichbar, komplexer Login-Flow mit Bedarf an Unterstützung), nicht als Standard in jedem Engagement.

Kontrolle, die Sie behalten

Live verfolgen

Eine Aktivitäts-Timeline zeigt, was die Agenten tun, während das Engagement läuft, Befunde erscheinen, sobald sie bestätigt sind.

Jederzeit pausieren

Pausieren Sie einen laufenden Pentest, um ein Zielsystem während des Tests zu entlasten, und setzen Sie ihn dann fort.

Abbrechen mit voller Gutschrift

Brechen Sie innerhalb der ersten 60 Minuten ab und die Gutschrift wird zurückerstattet. Sieht früh etwas falsch aus, stoppen Sie.

Retest inklusive

Lösen Sie mit einem Klick einen Retest eines behobenen Befunds aus. Der Retest ist in Ihrem Pentest enthalten.

Was abgedeckt wird

Das Testen folgt einer SQUR-Methodik, ausgerichtet an den OWASP Top 10, den OWASP API Security Top 10 und dem OWASP Web Security Testing Guide (WSTG). Authentifiziertes Testen läuft mit mehreren Nutzerrollen pro Engagement (zum Beispiel Admin, normaler Nutzer, Gast), was für Zugriffskontroll-Klassen wie IDOR und Rechteausweitung erforderlich ist.

SQL-Injection Cross-Site-Scripting (XSS) CSRF XXE Command Injection Server-Side Request Forgery (SSRF) Path Traversal Authentifizierungs- & Sitzungsschwächen Broken Access Control (IDOR / BOLA) Geschäftslogikfehler Sicherheits-Fehlkonfiguration Preisgabe sensibler Informationen Unsicherer Datei-Upload

Echte Ausnutzung, keine reine Erkennung

SQUR erreichte 87,5 % in einem unabhängigen Pentest-Benchmark und übertraf damit den besten menschlichen Pentester mit 85 %. Jeder Befund durchläuft eine unabhängige Verifizierung durch einen separaten Agenten, bevor er im Bericht erscheint.

SchwachstellenklasseBenchmark-Erfolg
IDOR, SQLi, SSRF, XXE, GraphQL, Geschäftslogik100 %
XSS, Rechteausweitung, Command Injection90 %+

Die Detection-Engine von SQUR wird gemeinsam mit den KASTEL Security Research Labs am Karlsruher Institut für Technologie (KIT) entwickelt. Zu den Kunden zählen Gameforge, bitExpert und Codeligence.

Was Sie erhalten

Verifizierte, deduplizierte Befunde mit reproduzierbaren Beweisen: bestätigte Schwachstellen mit dokumentiertem Ausnutzungsnachweis, keine Rohliste von Erkennungen. Vier Berichtsformate aus einem Engagement, alle als PDF und HTML mit eingebetteten Beweis-Screenshots.

BerichtZielgruppeFokus
ExecutiveLeitung, EntscheiderRisikolage, Geschäftsauswirkung, Kernzahlen
AuditCompliance und AuditBeweise, Reproduzierbarkeit, Nachvollziehbarkeit
TechnicalEntwickler, EngineersVolle technische Details, Behebungshinweise
FullInterne DokumentationAlles an einem Ort

Jeder Befund wird angereichert mit:

CWECVE (falls zutreffend)CAPECMITRE ATT&CKRisikostufe: Kritisch / Hoch / Mittel / Niedrig / Info

Schließt ein Pentest ohne hohe oder kritische Befunde ab, können Sie ein teilbares öffentliches Zertifikat erstellen, das das Ergebnis bestätigt, ein nützlicher Nachweis für Kunden, Partner und Beschaffungsprüfungen.

Tempo, Preis und Compliance

Tempo24-Stunden-Durchlauf statt 3 bis 6 Wochen bei einem klassischen manuellen Engagement. On-Demand, ohne Terminabsprachen oder Beschaffung.
Preis1.995 € Festpreis pro Pentest. Bulk 10 Credits 14.950 € (1.495 € pro Pentest, 12 Monate gültig). Ein typisches manuelles Engagement kostet 10.000 € bis 30.000 €, SQUR liegt damit rund 80 % darunter.
OnboardingSelf-Service, kein Sicherheits-Know-how zum Start nötig. Keine Scoping-Calls, kein Beschaffungsprozess.
DatenresidenzAlle Scandaten, Befunde und Berichte werden in GCP europe-west1 (Belgien) gespeichert. DSGVO-konforme Verarbeitung.
Compliance-NachweisDie Berichte sind so aufgebaut, dass sie DSGVO, DORA Artikel 24 (jährliche Penetrationstests), ISO 27001, SOC 2 und NIS2 unterstützen.

Pentest starten

Erstellen Sie ein kostenloses Konto und sehen Sie einen fertigen Demo-Pentest mit vollständigem Beispielbericht, dann starten Sie Ihren eigenen. Keine Scoping-Calls.

Pentest starten Demo buchen