Was ist ein Web Application Penetration Test?

Regelmäßig werden im Internet sogenannte Data Breaches veröffentlicht – Datenbanken mit teilweise mehreren Millionen von Zugangsdaten verschiedener Webseiten (siehe z.B. der massive cit0day data-breach). Meistens gelingt der Zugriff auf diese Daten aufgrund mangelnder Web Security. Da entsprechende Schwachstellen beim Programmieren oft übersehen werden, aber zu extrem hohen Kosten (z.B. Datenschutzverstoß nach DSGVO) und Reputationsschäden führen können, empfehlen wir Ihnen, die Sicherheit Ihrer Web Applications regelmäßig überprüfen zu lassen. Das bevorzugte Vorgehen ist hierbei ein Web Application Penetration Test nach OWASP Top 10.

Was benötigen wir?

Zur Durchführung eines Web Application Penetration Test Security benötigen wir lediglich einen Zugang zu Ihrer Webseite (z.B. über das Internet oder über VPN) sowie funktionierende Benutzeraccounts.

Was bieten wir?

Nach Abschluss des Tests erhalten Sie von uns einen umfassenden Bericht, der eine Auflistung sämtlicher von uns identifizierter Vulnerabilities enthält. Weiterhin erhalten Sie konkrete Empfehlungen zur Verbesserung der Sicherheit inklusive einer von uns vorgeschlagenen Priorisierung. Zu unserem Service gehört ebenfalls ein Testprotokoll, um die Schwachstellen nachvollziehen zu können. Auf Wunsch stellen wir Ihrem Team oder Ihren Entwicklern die gefundenen Sicherheitslücken gerne direkt an der Application vor.

Wie gehen wir vor?

Unsere Analysten setzen eine Vielzahl an Testschritten und Tools ein, um Ihre Webseite eingehend zu überprüfen. Dabei kombinieren wir automatisierte Testvorgänge mit manuellen Tests. Dieses Methodik hat sich bewährt, da sich einige Schwachstellentypen mit automatisierten Tests nicht effektiv erkennen lassen, eine möglichst vollständige Abdeckung für andere Schwachstellen aber wiederum nur mit automatisierten Tests erreicht werden kann. Folgende Inhalte werden dabei üblicherweise überprüft:

  • Injection-Angriffe wie SQL Injection oder Remote Code Execution
  • Angriffe auf Authentication/Authorization
  • Privilege Escalation Angriffe
  • Unberechtigte Zugriffe auf sensitive Daten
  • Angriffe gegen das Session Handling
  • Überprüfen des Webservers auf Konfigurationsfehler und Einhaltung von Best Practices
  • Überprüfen der SSL-Konfiguration
  • Cross-Site-Scripting-Angriffe
  • CSRF (Cross-Site-Request-Forgery)
  • Weitere Angriffe wie u.a. Redirect-Attacken und Caching-Schwachstellen, Vulnerability Pentest

Wir orientieren uns dabei an international anerkannten Standards zum Vorgehen bei Webanwendungs-Pentests, wie dem OWASP Web Security Testing Guide. Unsere Analysten verfügen über langjährige Erfahrung im Bereich Web Applikationen und über entsprechende Zertifizierungen. Sämtliche Tests werden dabei entsprechend Ihren Anforderungen durchgeführt. Handelt es sich z.B. um ein produktives System, gehen wir beim Testen mit höchster Sorgfalt vor, sodass Sie nicht mit Produktionsausfällen zu rechnen haben.

Gibt es Pentests für REST APIs und Single-Page Applications?

Für spezielle Anwendungen, wie z.B. REST APIs und Single-Page Applications, bieten wir einen speziell angepassten Testkatalog, der sich an den für diese Anwendungen typischen Schwachstellen orientiert. Dabei berücksichtigen wir unter anderem die OWASP API Top 10.

Was empfehlen wir?

Wir empfehlen Ihnen, sämtliche Web-Anwendungen regelmäßig testen zu lassen. Dies betrifft nicht nur von Ihnen selbst programmierte Anwendungen; auch Standard-Software kann durch Konfigurationsfehler oder unerkannte Programmierfehler gravierende Schwachstellen enthalten. Ein besonderes Augenmerk sollte auf On-Premises-Anwendungen gelegt werden, da hier im Falle eines erfolgreichen Angriffs eine direkte Bedrohung für Ihr internes Netzwerk besteht. Um Ihren Sicherheitsstand gegenüber einem erfolgten Eindringen in Ihr Netzwerk zu überprüfen, empfehlen wir Ihnen zusätzlich, ein internes Penetration Testing durchzuführen.

Wie können wir loslegen?

Um Ihnen das bestmögliche Produkt zu liefern, passen wir die Testparameter wie Umfang und Vorgehen auf Ihre individuellen Bedürfnisse an. Kontaktieren Sie uns einfach, dann setzen wir uns zeitnah mit Ihnen in Verbindung.