Pentest Webapplikationen
Schützen Sie Ihre Webanwendungen
Was sind Einfallstore für Angreifer?
Webanwendungen sind aus unserer täglichen Arbeit nicht mehr wegzudenken. Ob eingekauft oder selbst entwickelt, Anwendungen verarbeiten oft sensible Daten und sind meist für viele interne sowie externe Personen erreichbar. Bei einem erfolgreichen Angriff können Hacker so Firmengeheimnisse, Passwörter und Kundendaten kompromittieren und sogar den Server der Webanwendung übernehmen. Dies macht Webanwendungen zu einem beliebten Ziel für Angreifer.
Bei unserem Web Application Pentest untersuchen unsere Security Analyst*innen Ihre Webapplikationen umfassend und identifizieren mögliche Einfallstore für Angreifer.
Häufige Schwachstellen sind beispielsweise:
- Ausführen von eingeschleustem Schadcode (Cross-Site-Skripting, Cross-Site Request Forgery)
- Unberechtigte Ausweitung der Benutzerrechte (Privilege Escalation)
- Ausführen von Schadcode auf dem unterliegenden IT-System (Remote Code Execution, XML External Entity Attack)
Wie gehen wir beim Pentest von Webapplikationen vor?
Wir führen Pentests anhand einer einheitlichen Methodik durch, die bei Pentests von Webapplikationen um spezifische Elemente erweitert wird:
Bei unseren Pentests auf Anwendungsebene versuchen unsere Security Analyst*innen, unautorisierten Zugriff auf vertrauliche Informationen und die unterliegenden Systeme zu erlangen. Hierbei orientieren wir uns am OWASP Testing Guide in der aktuellen Version und berücksichtigen dabei besonders die nach OWASP am häufigsten in Webanwendungen auftretenden Sicherheitslücken (OWASP Top 10).
Webanwendungen werden immer leistungsfähiger und komplexer, potentielle Sicherheitslücken dadurch schwieriger aufzudecken. Bei unseren WebApp-Pentests kombinieren meine Kolleg*innen und ich daher modernste Techniken mit langjähriger Erfahrung und einem stets aktuellen Blick auf die Bedrohungslage.
Welche Überprüfungen sind beim Pentest von Webapplikationen Bestandteil?
Die folgenden Prüfungen sind unter anderem Bestandteil von Pentests auf Anwendungsebene:
- Identifikation der Applikation, Mapping und Informationssammlung mittels manueller und automatisierter Analyseverfahren
- Automatisierte Überprüfung der Webapplikation mittels eines State-of-the-Art-Schwachstellenscanners
- Angriffsszenarien auf Basis der Kombination mehrerer identifizierter Schwachstellen
- Manuelle Überprüfung, z.B. durch:
- Übernahme (Hijacking) von Nutzerkonten
- Überprüfung der Filterung von übergebenen Parametern
- Umgehung der Authentifizierungslogik oder der Autorisierungslogik
- Überprüfung der Funktionalitäten zum Upload von Dateien
Optional führen wir, abhängig von der Programmiersprache, bei kritischen Anwendungen Code Reviews durch. Hierbei untersuchen wir den Quelltext auf Sicherheitslücken und ermöglichen so eine äußerst tiefgehende Analyse. Zudem prüfen wir dabei die Einhaltung von anerkannten Secure Coding Guidelines und Best Practices.
Sind Ihre Systeme gegen Angreifer geschützt?
Gerne beraten wir Sie zu Ihren Möglichkeiten, Ihre Anwendungen von unseren Security Analyst*innen überprüfen zu lassen. Sprechen Sie uns einfach an.
