Web Application Pentest

identifiziert mittels einem Web Application Penetration Test die Sicherheitslücken in Ihrer Webanwendung

Webanwendungen stellen aufgrund ihrer öffentlichen Erreichbarkeit und dem Abruf von sensiblen Daten (z.B. Kundendaten in Webshops) ein beliebtes Ziel für Angreifer dar. Die daraus resultierenden Folgen sind Datenverlust und Imageschaden der sich durch einen Vertrauensverlust bemerkbar macht. Ihre Komplexität und Verbindung zu anderen Systemen wie Datenbanken erhöht das Risiko eines erfolgreichen Angriffes maßgeblich. Mit einem Web Application Penetration Test werden Sicherheitslücken identifiziert.
Die durch den Auftraggeber genannten Webanwendungen und die implementierte Software inkl. Patch-Stand, Konfiguration und Logik werden einem Web Application Security Scan mit den beiden Methoden Penetration Testing und Fuzzing unterzogen, um bereits bekannte und insbesondere bislang nicht erkannte Sicherheitslücken (Zero-Day-Vulnerabilities) zu identifizieren. Dabei werden gezielte Angriffe aus Sicht eines Angreifers nach dem BSI Leitfaden für Penetrationstests und nach dem OWASP Testing Guide durchgeführt.

Unter anderem wird geprüft auf:

  • Information Leakage: Ist es einem Angreifer möglich an sensible Daten wie Systemkonfigurationen, Anwenderdaten oder gar Unternehmensdaten ohne vorherige Autorisierung zu gelangen.
  • Authentication Mechanism: Ist es einem Angreifer möglich Anmeldeoberflächen z.B. mit Bypass-Angriffen zu umgehen und Berechtigungen in der Webanwendung zu erlangen.
  • Input Validation: Ist es einem Angreifer möglich z.B. mit Cross-Site-Scripting oder SQL-Injections Serverseitige oder Clientseitige Angriffe aufgrund mangelnder Verifikation der Eingabedaten durchzuführen.

Vorgehensweise und Zielsetzung des Web Application Security Scan, z.B. ein Sicherheitsniveau nach dem aktuellen Stand der Technik zu erreichen, werden mit dem Auftraggeber abgestimmt. Hierbei erfolgen u.a. die Festlegung der Überprüfungsschritte, die Definition von Notfallmaßnahmen und die Festlegung sicherheitskritischer Systeme, die z.B. von der Untersuchung auszuschließen sind.
Identifizierte Sicherheitslücken, werden bewertet und empfohlene Gegenmaßnahmen beschrieben. Diese bilden die Grundlage für weiterführende Handlungen des Auftraggebers.