Pentest Webapplikationen

Schützen Sie Ihre Webanwendungen

Was sind Einfallstore für Angreifer?

Webanwendungen sind aus unserer täglichen Arbeit nicht mehr wegzudenken. Ob eingekauft oder selbst entwickelt, Anwendungen verarbeiten oft sensible Daten und sind meist für viele interne sowie externe Personen erreichbar. Bei einem erfolgreichen Angriff können Hacker so Firmengeheimnisse, Passwörter und Kundendaten kompromittieren und sogar den Server der Webanwendung übernehmen. Dies macht Webanwendungen zu einem beliebten Ziel für Angreifer.

Bei unserem Web Application Pentest untersuchen unsere Security Analyst*innen Ihre Webapplikationen umfassend und identifizieren mögliche Einfallstore für Angreifer.

Häufige Schwachstellen sind beispielsweise: 

  • Ausführen von eingeschleustem Schadcode (Cross-Site-Skripting, Cross-Site Request Forgery)
  • Unberechtigte Ausweitung der Benutzerrechte (Privilege Escalation)
  • Ausführen von Schadcode auf dem unterliegenden IT-System (Remote Code Execution, XML External Entity Attack)

Wie gehen wir beim Pentest von Webapplikationen vor?

Wir führen Pentests anhand einer einheitlichen Methodik durch, die bei Pentests von Webapplikationen um spezifische Elemente erweitert wird:

Bei unseren Pentests auf Anwendungsebene versuchen unsere Security Analyst*innen, unautorisierten Zugriff auf vertrauliche Informationen und die unterliegenden Systeme zu erlangen. Hierbei orientieren wir uns am OWASP Testing Guide in der aktuellen Version und berücksichtigen dabei besonders die nach OWASP am häufigsten in Webanwendungen auftretenden Sicherheitslücken (OWASP Top 10).

Insbesondere wenn sich Benutzer selbständig registrieren können, stellt die Nutzerregistrierung ein beliebtes Angriffsziel für Hacker dar. In diesem Fall empfehlen wir, Ihre Anwendung auch authentifiziert zu überprüfen. Dazu führen wir zusätzlich Tests auf den Funktionalitäten der geschützten Bereiche mit definierten und bereitgestellten Nutzerkonten durch.

Webanwendungen werden immer leistungsfähiger und komplexer, potentielle Sicherheitslücken dadurch schwieriger aufzudecken. Bei unseren WebApp-Pentests kombinieren meine Kolleg*innen und ich daher modernste Techniken mit langjähriger Erfahrung und einem stets aktuellen Blick auf die Bedrohungslage.

Gerbert Roitburd

Senior Consultant IT Security

Welche Überprüfungen sind beim Pentest von Webapplikationen Bestandteil?

Die folgenden Prüfungen sind unter anderem Bestandteil von Pentests auf Anwendungsebene:

  • Identifikation der Applikation, Mapping und Informationssammlung mittels manueller und automatisierter Analyseverfahren
  • Automatisierte Überprüfung der Webapplikation mittels eines State-of-the-Art-Schwachstellenscanners
  • Angriffsszenarien auf Basis der Kombination mehrerer identifizierter Schwachstellen
  • Manuelle Überprüfung, z.B. durch:
    • Übernahme (Hijacking) von Nutzerkonten
    • Überprüfung der Filterung von übergebenen Parametern
    • Umgehung der Authentifizierungslogik oder der Autorisierungslogik
    • Überprüfung der Funktionalitäten zum Upload von Dateien

Optional führen wir, abhängig von der Programmiersprache, bei kritischen Anwendungen Code Reviews durch. Hierbei untersuchen wir den Quelltext auf Sicherheitslücken und ermöglichen so eine äußerst tiefgehende Analyse. Zudem prüfen wir dabei die Einhaltung von anerkannten Secure Coding Guidelines und Best Practices.

Sind Ihre Systeme gegen Angreifer geschützt?

Gerne beraten wir Sie zu Ihren Möglichkeiten, Ihre Anwendungen von unseren Security Analyst*innen überprüfen zu lassen. Sprechen Sie uns einfach an.

Mehr Einblicke

Pentest: Unsere einheitliche Vorgehensweise

Pentest: Ihre Vorteile auf einen Blick

Online-Shops bleiben im Fokus von Cyberangriffen

Planen Sie jetzt Ihren Pentest und erhalten Sie unseren Online-Rabatt.

Pentest planen


 

Kontakt

Sie haben Fragen oder Interesse? Sprechen Sie uns gerne an.

 

Telefon: +49 6102 8631-190
E-Mail: vertrieb@usd.de
PGP Key
S/MIME
Kontaktformular

 

Daniel Heyne
usd Team Lead Sales,
Security Consultant Pentest, OSCP, OSCE