Web- und API-Pentest

Es gibt direkte und indirekte Methoden der Suchmaschinen-Suche und -Aufklärung. Direkte Methoden beziehen sich auf das Durchsuchen der Indizes und der zugehörigen Inhalte aus dem Cache. Indirekte Methoden beziehen sich auf das Sammeln sensibler Design- und Konfigurationsinformationen durch die Suche in Foren, Newsgroups und Ausschreibungen von Websites.

Die eigentliche Komplexität der vernetzten und heterogenen Webserver-Infrastruktur, die mehrere Webanwendungen umfassen kann, macht Konfigurationsmanagement und Review zu einem grundlegenden Schritt beim Testen und Bereitstellen jeder einzelnen Anwendung. Es bedarf nur einer einzigen Schwachstelle, um die Sicherheit der gesamten Infrastruktur zu gefährden.

Eine der Kernkomponenten jeder webbasierten Anwendung ist der Mechanismus, den Zustand für einen Benutzer, der mit ihr interagiert, steuert und aufrechterhält. Dies wird als Session-Management bezeichnet und ist definiert als der Satz aller Kontrollen, die die zustandsorientierte Interaktion zwischen einem Benutzer und der Anwendung regeln.

Häufig stoßen wir bei einem Pentest bei Webanwendungen auf viele Fehlermeldungen, die von Anwendungen oder Web Servern generiert werden. Diese Fehlermeldungen sind für Angreifer sehr nützlich, da sie viele Informationen über Datenbanken, Fehler und andere technologische Komponenten enthalten, die direkt mit Webanwendungen verbunden sind.

In modernen Anwendungen ist es üblich, Systemrollen zur Verwaltung von Benutzern und Berechtigungen für Systemressourcen zu definieren. Administratoren stellen eine Rolle dar, die den Zugriff auf privilegierte und sensible Funktionen und Informationen ermöglicht, normale Benutzer eine Rolle, die den Zugriff auf reguläre Geschäftsfunktionen und -informationen ermöglicht.

Das Testen des Transports der Anmeldeinformationen bedeutet, dass überprüft wird, ob die Daten unverschlüsselt vom Browser zum Server übertragen werden oder ob die Webanwendung die entsprechenden Sicherheitsmaßnahmen mit einem Protokoll wie HTTPS verwendet. Das HTTPS-Protokoll basiert auf TLS/SSL, um die übertragenen Daten zu verschlüsseln.

Viele Webanwendungen verwenden und verwalten Daten als Teil ihres täglichen Betriebes. Mit Eingabe-Validierungsmethoden, die nicht gut konzipiert oder eingesetzt wurden, könnte ein Angreifer das System ausnutzen, um Daten zu lesen oder zu schreiben, die nicht zugänglich sein sollen. In besonderen Situationen kann es möglich sein, beliebige Systembefehle auszuführen.

Die häufigsten Sicherheitslücken bei Webanwendungen entstehen, wenn Eingaben der Benutzer nicht ordnungsgemäß zu validiert werden. Diese Schwäche führt zu fast allen großen Schwachstellen in Webanwendungen, wie Cross-Site-Scripting, SQL-Injection, Interpreter-Injektion, Lokal- und Unicode-Angriffe, Dateisystem-Angriffe und Pufferüberläufe.

Sensible Daten müssen bei der Übertragung über das Netzwerk geschützt werden. Zu diesen Daten können Benutzerdaten gehören. Selbst wenn heute normalerweise hochwertige Verschlüsselungen verwendet werden, kann eine Fehlkonfiguration dazu führen, dass eine schwache Verschlüsselung erzwungen wird, die es einem Angreifer ermöglicht, sensible Daten auszulesen.

Das Testen auf Fehler in der Geschäftslogik erfordert oft unkonventionellen Methoden. Wenn der Authentifizierungsmechanismus einer Anwendung entwickelt wird, die Schritte 1, 2, 3 in dieser spezifischen Reihenfolge auszuführen, um einen Benutzer zu authentifizieren. Was passiert, wenn der Benutzer von Schritt 1 direkt zu Schritt 3 geht?

Das clientseitige Testen befasst sich mit der Ausführung von Code auf dem Client, typischerweise nativ in einem Webbrowser oder Browser-Plugin. Die Ausführung von Code auf der Clientseite unterscheidet sich von der Ausführung auf dem Server und der Rückgabe des nachfolgenden Inhalts. Hierbei wird auf alle gängigen Arten von Cross-Site-Scripting getestet.

Moderne Anwendungen verwendet eine API für den Aufruf von Micro Services, die Durchführung von Aktionen oder die Überwachung des Nutzerverhaltens. Das Design oder die Struktur der API wird den Anwendern oft öffentlich zugänglich gemacht. Aufgrund dieser Struktur kann der Angreifer die API verstehen und die Informationen für weitere Angriffe verwenden.

Der Begriff Patchmanagement bezeichnet die strategische Steuerung zum Einspielen von Systemaktualisierungen, mit denen erst nach der Markteinführung erkannte Sicherheitslücken in Software-Anwendungen geschlossen werden. Veraltete Softwarepakete oder Frameworks aus externen Quellen sollten immer auf dem neuesten Stand sein.