Security Scans

System & Web Application Scan

Der schnelle Einstieg in Ihre Sicherheitsanalyse

Gerade von außen erreichbare Systeme und Applikationen sind besonderen Gefahren ausgesetzt. Hacker greifen sowohl die auf IT-Systemen erreichbaren Dienste als auch die darauf laufenden Webapplikationen an. Unsere Security Scans werden daher sowohl für IT-Systeme in Form des System Security Scans als auch für Webapplikationen mit dem Web Application Security Scan angeboten. Denn nur so ist ein ganzheitlicher Sicherheitsüberblick möglich.

Welche Scanarten bieten wir an? 

 

System Security Scan 

Mit unseren System Security Scans überprüfen Sie Ihre internen und externen IT-Systeme (z.B. Webserver, Mailserver, Fileserver) auf viele tausend bekannte Schwachstellen, stets anhand aktueller Erkenntnisse. Wir arbeiten mit normierten, international anerkannten Verfahren und orientieren uns bei der Bewertung des Scanergebnisses an renommierten Sicherheitsstandards. Scans können sowohl extern über das Internet (Externe System Security Scans) als auch ergänzend intern mittels VPN Tunnel (Interne System Security Scans) durchgeführt werden.

 

Web Application Security Scan 

Mit unserem Web Application Security Scan können Sie Ihre externen (aus dem Internet erreichbaren) und internen Webapplikationen auf Schwachstellen und Verwundbarkeiten überprüfen lassen. Möchten Sie die Webapplikation auch „hinter dem Login“ überprüfen und damit den Bereich mit besonders sensitiven Daten, wird ein authentisierter Scan nötig. Dafür nutzen Sie unseren Web Application Security Scan, der mithilfe Ihrer bereitgestellten Zugangsdaten einer Benutzerrolle durchgeführt wird. Mit dem Web Application Security Scan werden häufig anzutreffende Sicherheitslücken identifiziert. Dazu gehören:

  • Cross-Site Scripting (XSS)
  • SQL, Command und XPath Injections
  • Directory und Path Traversal
  • Security Misconfigurations

 

Security Scan Facts

Ihr Titel

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Welche Phasen umfasst ein Security Scan auf Webapplikationen?

Der Security Scan auf Webapplikationen erfolgt in zwei Phasen:

 

  1. In der Discovery Phase werden alle erreichbaren Webseiten identifiziert, die in der zweiten Phase geprüft werden. Hierbei werden erforderliche Authentifizierungen durchgeführt, vorgegebene Pfade innerhalb der Applikation abgelaufen oder die Bereiche der Applikation ausgespart, die nicht der Prüfung unterzogen werden sollen.
  2. In der zweiten Phase werden die eigentlichen Tests durchgeführt. Der Scanner interagiert mit der Applikation, indem Daten an die Applikation gesendet werden. Dies kann erwünschtes und nicht erwünschtes Verhalten der Applikation auslösen.
Welche Problemstellungen in Webapplikationen werden überprüft?

Der Scan umfasst Tests häufig anzutreffender Sicherheitslücken wie beispielsweise:

 

  • Cross-Site Scripting (XSS)
  • Cross-Site Request Forgery (CSRF)
  • SQL, Command und XPath Injections
  • Directory und Path Traversal
  • Security Misconfigurations
Ist es sinnvoll, beide Scanverfahren zu kombinieren?

Hacker greifen sowohl die auf einem IT-Systeme erreichbaren Dienste als auch die darauf laufenden Webapplikationen an. Beide Scanleistungen in Kombination erlauben einen ganzheitlicheren Sicherheitsüberblick. Sprechen Sie uns diesbezüglich gerne an.

Wie häufig sollte gescannt werden?
Grundsätzlich empfehlen wir, IT-Systeme und Webapplikationen regelmäßig zu scannen, um auf ständig neue Angriffsszenarien vorbereitet zu sein. Mindestens quartalsweise (4er Paket) oder monatlich (12er Paket). Wir verwenden ein Scansystem, das auf viele tausend bekannte und ständig aktualisierte Schwachstellen hin untersucht.
Kann Beratung in Anspruch genommen werden?
Sie werden mit dem Ergebnis nicht allein gelassen. Bei Fragen oder Problemen unterstützen Sie unsere Experten gerne.

Kontakt

 

Sie haben Fragen oder Interesse? Sprechen Sie uns gerne an.

Telefon: ­ +49 6102 8631-190
E-Mail: vertrieb@usd.de
PGP Key
S/MIME
Kontaktformular

 

Anna-Magdalena Kohl
usd Team Lead Sales,
PCI Professional