Vereinbaren Sie ganz einfach online einen Termin für ein unverbindliches und kostenloses Erstgespräch mit einem unserer Mitarbeiter.
Gespräch vereinbarenEin Web-Penetrationstest ist, wie der Name schon sagt, ein Penetrationstest, der sich ausschließlich auf eine Webanwendung und nicht auf ein Netzwerk oder Unternehmen konzentriert. Das zugrunde liegende Konzept und die Ziele zur Aufdeckung von Sicherheitsschwächen und zur Stärkung der Verteidigungsmechanismen sind identisch. Tatsächlich werden viele der gleichen Werkzeuge und Angriffsvektoren während des Einsatzes genutzt. Der Hauptunterschied liegt in der Methodik, mit der Web-Penetrationstester einen Footprint erstellt oder eine Webapplikation-Funktionalität abbildet und dann Einstiegspunkte abfragen (normalerweise benutzerdefinierte Eingabefelder).
Penetrationstests werden von unseren speziell ausgebildeten Analysten nach anerkannten Standards geplant, durchgeführt und ausgewertet.
Von uns durchgeführte Penetrationstests sind ein agiler Prozess und werden in enger Absprache mit dem Kunden durchgeführt.
Bei einem gemeinsamen Kick-Off-Gespräch werden die zu prüfenden Rahmenbedingungen spezifiziert, es werden notwendige Benutzerkonten und Zugriffswege abgestimmt, Ansprechpartner und Eskalationswege definiert und der Pentest wird im Detail gemeinsam geplant.
Unsere Analysten versuchen möglichst viele Informationen zu sammeln. Auf Basis dieser Informationen werden Analysestrategien entwickelt, mit denen mögliche Angriffsvektoren identifiziert werden können. Diese Angriffsvektoren werden dann in umfangreichen Tests auf Schwachstellen untersucht.
In dieser Phase wird versucht, die identifizierten Schwachstellen auszunutzen, um Zugriff auf die Zielsysteme zu erlangen. Dabei werden von unserem Pentester, abhängig vom jeweiligen Dienst oder der technischen Umgebung, neue Exploits geschrieben oder bestehende verwendet. Potentielle Schwachstellen können sich hier als falsch-positiv herausstellen. Nur verifizierte Schwachstellen werden in den abschließenden Bericht aufgenommen und entsprechend ihrer Kritikalität eingestuft.
Sie erhalten einen umfassenden Abschlussbericht bestehend aus einer Management Summary und einer umfangreichen Test- und Schwachstellenbeschreibung. Die Kritikalität der Schwachstellen und Maßnahmenempfehlungen werden darin ausführlich beschrieben.
In dieser Phase erfolgt die Beseitigung der identifizierten Schwachstellen durch Ihr Unternehmen. Bei Bedarf werden Sie hierbei durch unsere erfahrenen Security-Engineers unterstützt.
Sie haben die Möglichkeit nach Durchführung der Remediation eine Nachprüfung durch uns durchführen zu lassen. Hierbei überprüfen wir die Wirksamkeit Ihrer Maßnahmen und passen den Ergebnisbericht an.
In diesem Abschlussgespräch werden alle kritischen Punkte im Ergebnisbericht besprochen und alle abschließende Fragen geklärt.
Der folgende Abschnitt beschreibt unsere Testmodule. Grundsätzlich gilt, je länger unsere Analysten Ihre Web-Anwendung untersuchen, desto aussagekräftiger sind die Ergebnisse. Sollten Sie spezielle Ansprüche haben, machen wir Ihnen gerne ein individuelles Angebot.
Es gibt direkte und indirekte Methoden der Suchmaschinen-Suche und -Aufklärung. Direkte Methoden beziehen sich auf das Durchsuchen der Indizes und der zugehörigen Inhalte aus dem Cache. Indirekte Methoden beziehen sich auf das Sammeln sensibler Design- und Konfigurationsinformationen durch die Suche in Foren, Newsgroups und Ausschreibungen von Websites.
Die eigentliche Komplexität der vernetzten und heterogenen Webserver-Infrastruktur, die mehrere Webanwendungen umfassen kann, macht Konfigurationsmanagement und Review zu einem grundlegenden Schritt beim Testen und Bereitstellen jeder einzelnen Anwendung. Es bedarf nur einer einzigen Schwachstelle, um die Sicherheit der gesamten Infrastruktur zu gefährden.
Eine der Kernkomponenten jeder webbasierten Anwendung ist der Mechanismus, den Zustand für einen Benutzer, der mit ihr interagiert, steuert und aufrechterhält. Dies wird als Session-Management bezeichnet und ist definiert als der Satz aller Kontrollen, die die zustandsorientierte Interaktion zwischen einem Benutzer und der Anwendung regeln.
Häufig stoßen wir bei einem Penetrationstest an Webanwendungen auf viele Fehlermeldungen, die von Anwendungen oder Web Servern generiert werden. Diese Fehlermeldungen sind für Angreifer während sehr nützlich, da sie viele Informationen über Datenbanken, Fehler und andere technologische Komponenten enthalten, die direkt mit Webanwendungen verbunden sind.
In modernen Anwendungen ist es üblich, Systemrollen zur Verwaltung von Benutzern und Berechtigungen für Systemressourcen zu definieren. Administratoren stellen eine Rolle dar, die den Zugriff auf privilegierte und sensible Funktionen und Informationen ermöglicht, normale Benutzer eine Rolle, die den Zugriff auf reguläre Geschäftsfunktionen und -informationen ermöglicht.
Das Testen des Transports der Anmeldeinformationen bedeutet, dass überprüft wird ob die Daten unverschlüsselt vom Browser zum Server übertragen werden oder ob die Webanwendung die entsprechenden Sicherheitsmaßnahmen mit einem Protokoll wie HTTPS verwendet. Das HTTPS-Protokoll basiert auf TLS/SSL, um die übertragenen Daten zu verschlüsseln.
Viele Webanwendungen verwenden und verwalten Daten als Teil ihres täglichen Betriebes. Mit Eingang-Validierungsmethoden, die nicht gut konzipiert oder eingesetzt wurden, könnte ein Angreifer das System ausnutzen, um Daten zu lesen oder zu schreiben, die nicht zugänglich sein sollen. In besonderen Situationen kann es möglich sein, beliebige Systembefehle auszuführen.
Die häufigsten Sicherheitslücken bei Webanwendungen entstehen, wenn Eingaben der Benutzer nicht ordnungsgemäß zu validiert werden. Diese Schwäche führt zu fast allen großen Schwachstellen in Webanwendungen, wie Cross-Site-Scripting, SQL-Injection, Interpreter-Injektion, Lokal- und Unicode-Angriffe, Dateisystem-Angriffe und Pufferüberläufe.
Sensible Daten müssen bei der Übertragung über das Netzwerk geschützt werden. Zu diesen Daten können Benutzerdaten gehören. Selbst wenn heute normalerweise hochwertige Verschlüsselungen verwendet werden, kann eine Fehlkonfiguration dazu führen, dass eine schwache Verschlüsselung erzwungen wird, die es einem Angreifer ermöglicht, sensible Daten auszulesen.
Das Testen auf Fehler in der Geschäftslogik erfordert oft unkonventionellen Methoden. Wenn der Authentifizierungsmechanismus einer Anwendung entwickelt wird, die Schritte 1, 2, 3 in dieser spezifischen Reihenfolge auszuführen, um einen Benutzer zu authentifizieren. Was passiert, wenn der Benutzer von Schritt 1 direkt zu Schritt 3 geht?
Das clientseitige Testen befasst sich mit der Ausführung von Code auf dem Client, typischerweise nativ in einem Webbrowser oder Browser-Plugin. Die Ausführung von Code auf der Client-Seite unterscheidet sich von der Ausführung auf dem Server und der Rückgabe des nachfolgenden Inhalts. Hierbei wird auf alle gängigen Arten von Cross-Site-Scripting getestet.
Moderne Anwendungen verwendet eine API für den Aufruf von Micro-Services, die Durchführung von Aktionen oder die Überwachung des Nutzerverhaltens. Das Design oder die Struktur der API wird den Anwendern oft öffentlich zugänglich gemacht. Aufgrund dieser Struktur kann der Angreifer die API verstehen und die Informationen für weitere Angriffe verwenden.
Der Begriff Patchmanagement bezeichnet die strategische Steuerung zum Einspielen von Systemaktualisierungen, mit denen erst nach der Markteinführung erkannte Sicherheitslücken in Software-Anwendungen geschlossen werden. Veraltete Softwarepakete oder Frameworks aus externen Quellen sollten immer auf dem neuesten Stand sein.
Fordern Sie noch heute einen Beispielbericht oder unser Leistungsportfolio an. Wir bearten Sie gerne!