PENTEST: WEBAPPLIKATIONEN

SCHÜTZEN SIE IHRE WEBANWENDUNGEN

WAS SIND EINFALLSTORE FÜR ANGREIFER?

Webanwendungen und Webservices (APIs) sind aus unserer täglichen Arbeit nicht mehr wegzudenken. Ob eingekauft oder selbst entwickelt, Anwendungen verarbeiten oft sensible Daten und sind meist für viele interne sowie externe Personen erreichbar. Bei einem erfolgreichen Angriff können Hacker so Firmengeheimnisse, Passwörter und Kundendaten kompromittieren und sogar den Server der Webanwendung übernehmen. Dies macht Webanwendungen zu einem beliebten Ziel für Angreifer.

Bei unserem Web Application Pentest untersuchen unsere Security Analysten Ihre Webapplikationen umfassend und identifizieren mögliche Einfallstore für Angreifer.

 

HÄUFIGE SCHWACHSTELLEN SIND BEISPIELSWEISE:

 
 
  • Ausführen von eingeschleustem Schadcode (Cross-Site-Skripting, Cross-Site Request Forgery)
  • Unberechtigte Ausweitung der Benutzerrechte (Privilege Escalation)
  • Ausführen von Schadcode auf dem unterliegenden IT-System (Remote Code Execution, XML External Entity Attack)
 
 

 

WIE GEHEN WIR VOR?

Wir führen Pentests anhand einer einheitlichen Methodik durch, die bei Pentests von Webapplikationen um spezifische Elemente erweitert wird:

Bei unseren Pentests auf Anwendungsebene versuchen unsere Security Analysten, unautorisierten Zugriff auf vertrauliche Informationen und die unterliegenden Systeme zu erlangen. Hierbei orientieren wir uns am OWASP Testing Guide in der aktuellen Version und berücksichtigen dabei besonders die nach OWASP am häufigsten in Webanwendungen auftretenden Sicherheitslücken (OWASP Top 10).

Insbesondere wenn sich Benutzer selbständig registrieren können, stellt die Nutzerregistrierung ein beliebtes Angriffsziel für Hacker dar. In diesem Fall empfehlen wir, Ihre Anwendung auch authentifiziert zu überprüfen. Dazu führen wir zusätzlich Tests auf den Funktionalitäten der geschützten Bereiche mit definierten und bereitgestellten Nutzerkonten durch.

WELCHE ÜBERPRÜFUNGEN SIND BESTANDTEIL?

Die folgenden Prüfungen sind unter anderem Bestandteil von Pentests auf Anwendungsebene:

  • Identifikation der Applikation, Mapping und Informationssammlung mittels manueller und automatisierter Analyseverfahren
  • Automatisierte Überprüfung der Webapplikation mittels eines State-of-the-Art-Schwachstellenscanners
  • Angriffsszenarien auf Basis der Kombination mehrerer identifizierter Schwachstellen
  • Manuelle Überprüfung,  z.B. durch:
    • Übernahme (Hijacking) von Nutzerkonten
    • Überprüfung der Filterung von übergebenen Parametern
    • Umgehung der Authentifizierungslogik oder der Autorisierungslogik
    • Überprüfung der Funktionalitäten zum Upload von Dateien
 

 
 

Optional führen wir, abhängig von der Programmiersprache, bei kritischen Anwendungen Code Reviews durch. Hierbei untersuchen wir den Quelltext auf Sicherheitslücken und ermöglichen so eine äußerst tiefgehende Analyse. Zudem prüfen wir dabei die Einhaltung von anerkannten Secure Coding Guidelines und Best Practices.

 
 

 

SIND IHRE SYSTEME GEGEN ANGREIFER GESCHÜTZT?

Gerne beraten wir Sie zu Ihren Möglichkeiten, Ihre Anwendungen von unseren Security Analysten überprüfen zu lassen. Sprechen Sie uns einfach an.

Kontaktieren Sie uns