Professionelle Penetrationstests nach OWASP Testing Guide

Wir simulieren einen professionellen Hackerangriff, um potentielle Schwachstellen zu identifizieren und Ihre Systeme vor potentiellen Angreifern zu schützen.

Können Unbefugte in Ihre Systeme eindringen?


Sind Ihre Anwendungen und Dienste vor Angreifern hinreichend geschützt?

Reputationsschäden

Hackerangriffe können Ihr Firmenimage beschädigen und sind somit existenzbedrohend, denn diese bewirken einen Vertrauensverlust der Öffentlichkeit.

Datenverlust

Sind Ihre Daten einmal in den falschen Händen werden diese oft missbraucht und an Kriminelle weiterverkauft. Dieses Szenario ist ein Albtraum für jeden Ihrer Kunden.

Strafzahlungen

Durch die am 25. Mai 2018 in Kraft getretene EU-Datenschutzgrundverordnung (EU-DSGVO) kann der Verlust von Kundendaten Strafen und damit verbundene finanzielle Schäden bedeuten.

Betriebsstörungen

Hackerangriffe, insbesondere Malwareangriffe, können Ihren Geschäftsbetrieb beeinträchtigen oder gar zum Stillstand bringen.

Vorteile


Web-Penetrationstests werden von unseren speziell ausgebildeten Analysten nach anerkannten Standards geplant, durchgeführt und ausgewertet.

293

Webanwendungen überprüft

1512

Schwachstellen gefunden

21

Bug-Bounties
Profitieren Sie von der jahrelangen Erfahrung unserer Analysten.
  • Unsere Analysten verfügen über eine umfangreiche akademische Ausbildung und langjährige Erfahrung im Identifizieren und Beheben von Schwachstellen aller Art.
  • Durch regelmäßige Schulungen und Weiterbildungen stellen wir sicher, dass neue Tools und Techniken schnellstmöglich genutzt werden können.
  • Wir entwickeln unsere Tools und Prozesse ständig weiter, um unseren Kunden ein bestmögliches Ergebnis liefern zu können.
  • Eine umfangreiche Forschung stellt sicher, dass auch tagesaktuelle Schwachstellen identifiziert werden können.
Wir führen Sicherheitsanalysen auf Basis von anerkannten Standards und Richtlinien durch.
  • Wir auditieren Web-Anwendungen anhand des OWASP Testing Guides. Unsere Tools und Verfahren sind in der Lage, die Schwachstellenkategorien der OWASP Top 10 bestmöglich zu identifizieren.
  • Das Testen von mobilen Apps verläuft nach der Kategorisierung von dem MASVS (Mobile Application Security Verification Standard)
  • Unsere Prozesse sind an den Praxis-Leitfaden für Penetrationstests des Bundesamts für Informationssicherheit (BSI) angepasst.

Ausgewählte Kunden


Ablauf


Von uns durchgeführte Penetrationstests sind ein agiler Prozess und werden in enger Absprache mit dem Kunden durchgeführt.

Kick-Off

Die Vorbereitung des Pentests erfolgt im Rahmen eines Kick-Off Meetings mit den technischen und organisatorischen Verantwortlichen Ihres Unternehmens. Hierbei werden die zu prüfenden Rahmenbedingungen spezifiziert, es werden notwendige Benutzerkonten und Zugriffswege abgestimmt, Ansprechpartner und Eskalationswege definiert und der Pentest wird im Detail gemeinsam besprochen.

Research

Unsere Analysten versuchen möglichst viele Informationen zu sammeln. Auf Basis dieser Informationen werden Analysestrategien entwickelt, mit denen mögliche Angriffsvektoren identifiziert werden können. Diese Angriffsvektoren werden dann in umfangreichen Tests auf Schwachstellen untersucht.

Exploitation

In dieser Phase wird versucht, die identifizierten Schwachstellen aktiv auszunutzen, um Zugriff auf die Zielsysteme zu erlangen. Dabei werden von unserem Pentester, abhängig vom jeweiligen Dienst oder der technischen Umgebung, neue Exploits geschrieben oder bestehende verwendet. Potentielle Schwachstellen können sich hier als falsch-positiv herausstellen. Nur verifizierte Schwachstellen werden in den abschließenden Bericht aufgenommen und entsprechend ihrer Kritikalität eingestuft.

Report

Sie erhalten einen umfassenden Abschlussbericht bestehend aus einer Management Summary und einem Technical Report. Die Kritikalität der Schwachstellen und Maßnahmenempfehlungen werden darin ausführlich beschrieben.

Remediation (Optional)

In dieser Phase erfolgt die Beseitigung der identifizierten Schwachstellen durch Ihr Unternehmen. Bei Bedarf werden Sie hierbei durch unsere erfahrenen Security-Engineers unterstützt.

Nachprüfung (Optional)

Sie haben die Möglichkeit nach Durchführung der Remediation eine Nachprüfung durch uns durchführen zu lassen. Hierbei überprüfen wir die Wirksamkeit Ihrer Maßnahmen und passen den Ergebnisbericht an.

Abschlussgespräch (Optional)

In diesem Abschlussgespräch werden alle kritischen Punkte im Ergebnisbericht besprochen und alle abschließende Fragen geklärt.

Abschlussbericht


Wir haben ein umfangreiches Berichtsformat entwickelt, das optimalen Einblick in unsere Arbeit und dessen Ergebnisse ermöglicht.

  • Web-Penetrationstests werden von uns nach dem OWASP Testing Guide durchgeführt und auch dementsprechend ausgewertet.
  • Unser ausführliches Berichtsformat gibt nicht nur Aufschluss darüber, welche Schwachstellen während des Penetrationstests identifiziert wurden, sondern auch welche Angriffsvektoren dabei überprüft wurden. Somit können Sie unsere Arbeit optimal nachvollziehen.
  • Der Abschlussbericht wird individuell erstellt und sowohl als klassisches PDF-Dokument, als auch in einem speziellem HTML-Format ausgeliefert. Im dynamischen HTML-Format können Inhalte und Schwachstellen-Funde gefiltert, sortiert und in andere Formate exportiert werden.
  • In einem gemeinsamen Abschlussgespräch besprechen wir mit Ihnen die Details des Berichts und unterstützen Sie bei Bedarf bei der Behebung der identifizierten Schwachstellen.

Umfang


Der folgende Abschnitt beschreibt unsere Testmodule. Grundsätzlich gilt, je länger unsere Analysten Ihre Web-Anwendung untersuchen, desto aussagekräftiger sind die Ergebnisse. Sollten Sie spezielle Ansprüche haben, machen wir Ihnen gerne ein individuelles Angebot.

Wir decken das gesamte App-Spektrum ab! Unsere Analysten sind mit Nativen-, Web-, Hybrid- und Progressive-Web-Apps vertraut.
Architektur, Design und Bedrohungsanalysen

  • API-Endpunkt-Sicherheit
  • Architekturübersicht aller Abhängigkeiten
  • Identifikation aller sensiblen Daten
  • Funktionsumfang-Identifikation
  • Bedrohungsanalyse der API-Endpunkte
  • Sicherheitsfunktionen in zentralen Komponenten
  • Management von kryptographischen Schlüsseln
  • Erzwingen von App-Aktualisierungen
  • Sicherheit im Softwareentwicklungszyklus
Datenspeicherung und Datenschutz

  • Speichermechanismen
  • App-Container-Sicherheit
  • Logfiles
  • In-App-Datensicherheit
  • Tastatur-Cache
  • Interprozesskommunikation
  • Sensible Daten
  • Betriebssystemgesteuerte Backups
  • Hintergrundmodus
  • Speicherbereich
  • Geräteschutz-Richtlinien
  • Security-Best-Practice-Empfehlungen
Kryptographie

  • Hart-codierte Schlüssel
  • Kryptographisches Primitiv
  • Best-Practice-Vorgaben
  • Veraltete Algorithmen
  • Wiederverwendung von Kryptographie
  • Zufallszahlengenerator
Authentifizierung und Session Management

  • Authentifizierung
  • Session-Management
  • Token-basierte Authentifizierung
  • API-Endpunkt
  • Passwort-Richtlinie
  • Login-Versuche
  • Zugriffs-Token
  • Biometrische Authentifizierung
  • 2. Authentifizierungsfaktor
  • Sensible Transaktionen
  • Anmelde-Vorgänge
Netzwerkkommunikation

  • TLS-Verschlüsselung
  • Best Practices
  • X.509-Zertifikat
  • Zertifikatspeicher
  • Kommunikationskanäle
  • Kommunikationsverbindungen
Plattform-Interaktion

  • App-Berechtigungen
  • Interprozesskommunikation mit externen Quellen
  • Debugging-Symbole
  • App-eigene URL-Schemas
  • App-eigene Interprozesskommunikation
  • JavaScript-WebViews
  • WebViews-Protokoll-Handler
  • Javascript aus externen Quellen
  • Objektserialisierung
Code Qualität und Build-Einstellungen

  • App-Signatur
  • Release-Einstellungen
  • Binärdateien
  • App-Logdateien
  • Bibliotheken und Frameworks von Drittanbietern
  • Fehlerbehandlung
  • Sicherheitsfunktionen-Fehler
  • Angebotene Sicherheitsfunktionen der Entwicklungsumgebung
Manipulationssicherheit - Dynamische Analyse

  • Gerootetes Gerät
  • Debugging
  • App-eigenen Sandbox
  • Reverse-Engineering-Tools
  • Arbeitsspeicherbereich
  • Mehrschichtige-Mechanismen
  • Erkennungsmechanismen
  • Programmatische Abwehrmaßnahmen
Manipulationssicherheit - Gerätebindung

  • Mechanismus zur Gerätebindung
Manipulationssicherheit - Nachvollziehbarkeit verhindern

  • Verschlüsselung auf Dateiebene
  • Obfuskierungsmechanismus
Informationsbeschaffung

  • Suchmaschinen-Aufklärung
  • Webserver-Fingerprinting
  • Webserver-Metadateien
  • Anwendungs-Enumeration
  • Kommentare und Metadaten
  • Anwendungs-Entrypoints
  • Zuordnung von Ausführungspfaden
  • Framework-Fingerprinting
  • Applikation-Fingerprinting
  • Anwendungsarchitektur
Konfigurationsmangement

  • Netzwerk- und Infrastruktur-Konfiguration
  • Konfiguration der Anwendungsplattform
  • Handhabung von Dateierweiterungen
  • Alte, gesicherte und nicht referenzierte Dateien
  • Admin-Oberflächen
  • HTTP-Methoden
  • HTTP-Strict-Transport-Security
  • RIA-Cross-Domain-Policy
  • Dateiberechtigungen
  • Subdomain-Übernahme
Sessionmanagement

  • Umgehung des Session-Management-Schemas
  • Cookie-Attribute
  • Session-Fixation
  • Session-Variablen
  • Cross-Site-Request-Forgery
  • Abmeldefunktionalität
  • Session-Timeout
  • Session-Puzzling
Fehlerbehandlung

  • Fehlercode
  • Stack-Traces
Identitätsmanagement

  • Rollendefinitionen
  • Benutzer-Registrierungsprozess
  • Benutzerkonto-Bereitstellungsprozess
  • Kontenaufzählung und erratbare Benutzerkonten
  • Richtlinien für Benutzernamen
Authentifizierung

  • Anmeldeinformationen über verschlüsselten Kanal
  • Standard-Anmeldeinformationen
  • Schwacher Sperrmechanismus
  • Umgehung des Authentifizierungsschemas
  • "Passwort merken"-Funktionalität
  • Browser Cache
  • Passwortrichtlinien
  • Sicherheitsfragen
  • Passwort ändern oder zurücksetzen
  • Authentifizierung über alternativen Kanal
Berechtigungen

  • Directory-Traversal/File-Inclusion
  • Umgehung des Berechtigungsschemas
  • Erweiterung der Privilegien
  • Unsichere direkte Objektreferenzen
Eingabevalidierung

  • Reflected-Cross-Site-Scripting
  • Stored-Cross-Site-Scripting
  • HTTP-Verb-Tampering
  • HTTP-Parameter-Pollution
  • SQL-Injektion
  • LDAP-Injection
  • ORM-Injection
  • XML-Injection
  • SSI-Injection
  • XPath-Injection
  • IMAP/SMTP-Injection
  • Code-Injection
  • Command-Injection
  • Pufferüberläufe
  • Inkubierte Schwachstellen
  • HTTP-Splitting/-Smuggling
  • HTTP-Incoming-Requests
  • Host-Header-Injection
Kryptographie

  • Transportsicherheit
  • Padding-Oracle
  • Unverschlüsselte Kanäle
  • Schwache Verschlüsselung
Geschäftslogik

  • Datenvalidierung
  • Anfragenfälschung
  • Integritätsprüfungen
  • Prozess-Timing
  • Nutzungsgrenzen
  • Umgehung von Arbeitsabläufen
  • Missbrauch der Anwendung
  • Upload von unerwarteten Dateitypen
  • Upload von bösartigen Dateien
Client-Side

  • DOM-Based-Cross-Site-Scripting
  • JavaScript-Ausführung
  • HTML-Injection
  • URL-Umleitung
  • CSS-Injection
  • Ressourcenmanipulation
  • Origin-Resource-Sharing
  • Cross-Site-Flashing
  • Clickjacking
  • WebSockets
  • Web-Messaging
  • Local-Storage
APIs

  • Generische Tests
  • Parameter Fuzzing
  • Unsichere direkte Objektreferenzen
  • Erweiterung der Privilegien
  • (Token-Based)-Authentication
  • JWT-Brute-Forcing
Patchmanagement

  • Veraltete Software
  • Öffentlich gemeldete Schwachstellen
Informationsbeschaffung

  • Suchmaschinen-Aufklärung
  • Port-Scanning
  • Dienst-Fingerprinting
  • Anwendungs-Enumeration
  • Netzwerkarchitektur
Patchmanagement

  • Veraltete Software
  • Öffentlich gemeldete Schwachstellen
VPN-Analyse

  • Konfiguration
  • Kryptographie

FAQS


Im Folgenden haben wir eine Übersicht häufig gestellter Fragen zusammengestellt. Sollten Sie weitere Fragen haben, melden Sie sich gerne bei uns.

  • Wie unterscheiden sich die einzelnen Testarten?

    Die einzelnen Testarten unterscheiden sich in Umfang und Zeitaufwand. Grundsätzlich gilt, je länger der Testzeitraum, desto aussagekräftiger die Ergebnisse.

  • Kann die Sicherheitsanalyse auch vor Ort durchgeführt werden?

    Üblicherweise werden Sicherheitsanalysen von uns remote durchgeführt. Sollte Ihre Anwendung nicht extern erreichbar sein, unterstützen unsere Analysten Sie gerne bei der Einrichtung eines Remotezugangs. Sollte auch das nicht möglich sein, kommen unsere Analysten in ihr Unternehmen und führen die Sicherheitsanalyse vor Ort durch. Bitte beachten Sie, das Tests vor Ort mit zusätzlichen Kosten und zeitlichen Einschränkungen verbunden sind.

  • Was sind die OWASP Top 10?

    Das OWASP Top 10 Projekt dient der Erfassung und Erklärung der häufigsten Schwachstellen von Webanwendungen. Es stellt einen breiten Konsens über die kritischsten Sicherheitsrisiken für Webanwendungen dar und erhöht so die Transparenz und Wirksamkeit unserer Arbeit.

  • Was ist der OWASP Testing Guide?

    OWASP Testing Guide bietet einen Testleitfaden, der Vorgehen und Techniken definiert, die zum Testen der häufigsten Sicherheitsschwachstellen in Anwendungen verwendet werden. Der Leitfaden hat sich zu einem De-facto-Standard für die Durchführung von Sicherheitsanalysen von Web-Anwendungen entwickelt.

  • Was bedeutet Black-, Grey- bzw. Whitebox-Verfahren?

    Beim Whitebox-Verfahren haben unsere Analysten Zugriff und Kenntnis über die Entwicklung der Software (Quellcode sowie ggf. vorhandene Dokumentation). Das Greybox-Verfahren ist eine Technik zum Testen des Softwareprodukts mit teilweiser Kenntnis der internen Funktionsweise einer Anwendung. Beim Blackbox-Verfahren hingegen haben die Tester keinen Zugriff und Kenntnis über die Software.

  • Was passiert wenn während der Sicherheitsanalyse keine Schwachstellen identifiziert werden können?

    Trotz gründlicher Überprüfung kann es vorkommen, dass wenig oder keine Schwachstellen identifiziert werden. Dank unseres umfangreichen Abschlussberichts können sie jedoch trotzdem unsere Arbeit optimal nachvollziehen.

  • Können Sicherheitsanalysen in einem bestimmten Intervall oder im Releasezyklus der Anwendung durchgeführt werden?

    Wir bieten Ihnen individuelle Abonnements sowie einen attraktiven Preisnachlass für Stammkunden. Bei diesen Preismodellen genießen Ihre Projekte die höchste Priorität.

  • Wie können Schwachstellen schon im Entwicklungsprozess erkannt und vermieden werden?

    Für eine iterative Überprüfung im Entwicklungsprozess bietet die turingpoint GmbH zum Beispiel DevOps-Security-Beratung an.

  • Was bedeutet Security-Engineering?

    Unsere Security-Engineers behandeln Werkzeuge, Prozesse und Methoden für den Entwurf, Implementierung und Test von sicheren IT-Systemanwendung. Security-Engineering stellt hierbei sicher, dass die Spezifikation unter vorgesehenen Sicherheitsbedingungen erfüllt wird.

  • Sollten Backups der Zielsysteme gemacht werden?

    Die Aufrechterhaltung der Systemfunktion während und nach der Sicherheitsanalyse steht für uns an vorderster Stelle. Trotz unserer Bemühungen können Systemstörungen oder Datenverlust jedoch nicht völlig ausgeschlossen werden, weshalb wir die Erststellung eines Backups empfehlen.

  • Werden Anmeldedaten für die Sicherheitsanalyse benötigt?

    Sollen ein Backend oder gesicherte Anwenderbereiche überprüft werden, benötigen wird exemplarische Anmeldedaten, um alle Anwendungsabschnitte untersuchen zu können.

  • Können Sicherheitsanalysen außerhalb der Geschäftszeiten durchgeführt werden?

    Sollte die Ihre Webanwendung während unserer Geschäftszeiten (Werktags, 8-20 Uhr) unter hoher Last stehen oder die Ausfallsicherheit ist in diesem Zeitraum nicht gewährleistet, ist es möglich Tests auch außerhalb unser Geschäftszeiten durchzuführen. Bitte beachten Sie, dass wir in solchen Fällen einen Aufschlag berechnen.

  • Welcher Zeitraum ist für eine Sicherheitsanalyse einzuplanen?

    Der einzuplanende Zeitraum für unsere Web-Pentests hängt von der gewählten Testart und der Komplexität Ihrer Webanwendung ab. Für unseren Basis-Test planen wir 1-2 Werktage, den Standard-Test 1 Woche und den Umfangreich-Test 2 Wochen ein. Zusätzliche benötigen unsere Analysten Zeit, um den Abschlussbericht anzufertigen.

  • Werden sehr viele Requests an unsere Websever geschickt?

    Unsere selbstentwickelten Werkzeuge zur Überprüfung von Webanwendung können hohe Aufrufzahlen und Traffic auf dem Zielsystem erzeugen. Sollten unsere Analysten oder ihr IT-Team während der Sicherheitsanalyse Performance-Probleme feststellen, können wir unsere Software drosseln.

  • Können Sicherheitsanalysen auch kurzfristig durchgeführt werden?

    Durch unsere flexiblen Prozesse können wir auch kurzfristig mit Ihrem zeitkritischen Projekt beginnen.

  • Wie werden Schwachstellen bei einer Sicherheitsanalyse gefunden?

    Unsere Analysten nutzen Ihre langjährige Erfahrung und Werkzeuge, wie eine selbstentwickelte Software, zum Auffinden von Sicherheitsproblemen in Ihrer Webanwendung.

  • Werden Schwachstellen schon während der Sicherheitsanalyse gemeldet?

    Im Rahmen des Kick-Off-Gesprächs vereinbaren unsere Analysten einen Ansprechpartner mit Ihnen, an den schon während der Sicherheitsanalyse kritische Schwachstellen berichtet werden.

  • Welche Tools werden bei Sicherheitsanalysen genutzt?

    Wir benutzen gängige Werkzeuge wie OWASP ZAP, BurpSuite, SQLMap. Unsere Arbeit basiert jedoch auf einer selbstentwickelten Software, die von uns ständig erweitert und verbessert wird.

  • Können vertrauliche Daten der Zielanwendung während der Sicherheitsanalyse eingesehen werden?

    Es lässt sich nicht vermeiden, dass während der Sicherheitsanalyse vertrauliche Daten sichtbar werden können. Grundsätzlich wird vor Beginn der Sicherheitsanalyse ein NDA (Geheimhaltungsvertrag) zu vereinbart.

  • Werden Denial-of-Service (DoS) Angriffe durchgeführt?

    Grundsätzlich führen unsere Analysten keine Denial-of-Service (DoS) Angriffe durch. Durch die hohe Anzahl von Seitenaufrufen durch unsere Software kann es jedoch passieren, dass unserer Test als Denial-of-Service (DoS) Angriff Identifiziert wird.

  • Besteht ein Ausfallrisiko für die Zielsysteme?

    Ein Ausfallrisiko des Zielsystems ist während einer Sicherheitsanalyse nicht auszuschließen. Sie sollten daher über aktuelle Backups verfügen und das zuständige IT-Team sollte erreichbar sein. Falls verfügbar, sollte der Test auf ein Test- oder Abnahmesystem durchgeführt werden.

  • Wie lange dauert die Anfertigung des Abschlussberichts?

    Die Anfertigung des Abschlussberichts ist Teil unseres Angebots und nimmt etwa 2 zusätzliche Tage in Anspruch.

  • Warum wird der Abschlussbericht auch im HTML-Format ausgeliefert?

    In unserem dynamischen HTML-Format können Inhalte und Schwachstellen-Funde gefiltert, sortiert und in andere Formate exportiert werden. So kann Ihr IT-Team effizienter bei der Bearbeitung der Funde vorgehen.

  • Wie kann die geleistete Arbeit bei einer Sicherheitsanalyse nachvollzogen werden?

    Unsere Arbeit kann durch unseren umfangreichen Abschlussbericht optimal nachvollzogen werden. Wir dokumentieren dabei nicht nur die Funde, sondern auch das Vorgehen unserer Analysten.

  • Wie ist der Ablauf eines Nachtests?

    Ein optionaler Nachtest kann stattfinden, wenn ihr IT-Team die zuvor identifizierten Schwachstellen behoben hat. Es handelt sich hierbei nicht um eine vollständige Sicherheitsanalyse, sondern nur um das erneute Testen der zuvor festgestellten Sicherheitsprobleme.

  • Werden wir bei der Behebung der Sicherheitsanalysen unterstützt?

    In unserem umfangreichen Berichtsformat werden von unseren Analysten Maßnahmen dokumentiert, mit denen die identifizierten Sicherheitsprobleme behoben werden können. Sollten Sie technische Unterstützung benötigen, machen wir Ihnen gerne ein individuelles Angebot für eine Beratung durch unsere Security-Engineers.

  • Kann das Abschlussgespräch auch vor Ort gehalten werden?

    Das Abschlussgespräch kann gegen eine Reisekostenpauschale im Rahmen einer Präsentation in Ihrem Unternehmen gehalten werden.