Webschnittstellen, Web-APIs & Webinterfaces (Web-APIs)

Webschnittstellen (Web-APIs) spielen in fast allen modernen IT-Systemen eine zentrale Rolle. Da Backendsysteme meistens mit einer Vielzahl verschiedener Clients kommunizieren, werden Web-APIs als Schnittstellen zwischen Backend und den verschiedenen Clients eingesetzt. Da diese Schnittstellen häufig exponiert im Internet stehen und mit verschiedensten Technologien kompatibel sein müssen, stellen sie auch für Angreifer beliebte Ziele dar und verfügen meistens über eine breite Angriffsoberfläche. Web-APIs werden z.B. von Webanwendungen wie Single Page Applications, von mobilen Anwendungen oder von IOT-Geräten genutzt und stehen an der Schnittstelle zu cloudbasierten Backendsystemen oder sogar internen Firmennetzwerken. Gelingt es einem Angreifer also, eine Web-API zu kompromittieren, erlangt er damit mit hoher Wahrscheinlichkeit Zugriff auf weitere wichtige Systeme. Um derartige Angriffswege auf Ihr Unternehmen zu verhindern, sollte Sicherheit beim Betrieb von Webschnittstellen eine zentrale Rolle spielen. Um Ihre Sicherheit auf einem hohen Niveau zu halten, empfehlen wir, Web-APIs regelmäßigen Penetrationstests zu unterziehen. Gerne unterstützen wir Sie dabei. Basierend auf den OWASP API Top 10 haben wir unseren eigenen Testkatalog entwickelt, um Ihre Schnittstellen effizient und effektiv auf Sicherheitslücken zu untersuchen.

 

Folgende Testinhalte decken wir dabei ab:

  • Überprüfung von Authentisierung/Autorisierung (z.B. unautorisierter Zugriff auf gesperrte Funktionalität)
  • Code Injection-Angriffe auf Datenbank bzw. Webserver (SQL-Injection, Remote Code Execution, etc.)
  • Unberechtigte Zugriffe auf sensitive Daten
  • Angriffe mittels manipulierter Eingabedaten (z.B. durch Hinzufügen bestimmter JSON-Key-Value-Pairs)
  • Überprüfen des Webservers auf Konfigurationsfehler und Einhaltung von Best-Practices
  • Typische Schwachstellen der jeweiligen Technologie (z.B. SOAP API oder REST API)
  • Weitere Tests wie Testen von Rate Limiting, Zugriff auf Debug-Funktionalität oder Probleme bei Logging/Monitoring

 

Wir setzen beim Test auf eine Kombination aus automatisierten und manuellen Tests. Dieses Vorgehen hat sich bewährt, da sich einige Schwachstellentypen nur mit manuellen Tests effektiv erkennen lassen (z.B. Schwachstellen in Authentisierung oder Autorisierung), während andere Schwachstellen nur durch automatisierte oder teilautomatisierte Tests bei einer vollständigen Testabdeckung identifiziert werden können. Unsere Analysten verfügen über jahrelange Erfahrung mit verschiedensten Technologien im Bereich Web-APIs, sowohl mit den entsprechenden Backend-Systemen als auch mit Client-Architekturen wie Web Applications, Mobile Apps und IOT Devices. Sämtliche Tests werden dabei entsprechend Ihren Anforderungen durchgeführt. Handelt es sich z.B. um ein produktives System, gehen wir beim Testen mit höchster Sorgfalt vor, sodass Sie nicht mit Produktionsausfällen zu rechnen haben. Je nach Ihren Wünschen führen wir Whitebox-, Greybox- oder Blackbox-Tests durch, d.h. Sie entscheiden, wie viele Informationen Sie uns bereitstellen (z.B. Nutzeraccounts zu Ihrer API, Dokumentation oder Source Code) oder ob wir den Test ohne Vorkenntnisse über Ihr System durchführen. In jedem Fall garantieren wir Ihnen aussagekräftige und fundierte Testergebnisse.

 

Als Ergebnis unserer Sicherheitsüberprüfungen erhalten Sie einen umfassenden Bericht, der neben einer Auflistung aller identifizierten Schwachstellen auch konkrete, priorisierte Empfehlungen enthält, wie Sie die Sicherheit verbessern können. Mit enthalten ist auch ein umfassendes Protokoll unserer Testaktivitäten, damit Sie einzelne Ergebnisse im Detail nachvollziehen können, sowie eine kurze Zusammenfassung für die Management-Ebene.

 

Wir empfehlen Ihnen, sämtliche Web-APIs Ihres Unternehmens regelmäßig (oder zumindest nach größeren Neuerungen) testen zu lassen, um den Sicherheitsstand systematisch zu kontrollieren und Angriffen aktiv entgegenzuwirken. Zusätzlich zum Test der APIs sollte auch die Sicherheit der entsprechenden Clients regelmäßig überprüft werden. Gerne testen wir auch Ihre mobilen Anwendungen (Link) oder Ihre IOT-Devices (Link).