Web- und API-Pentest

Schützen Sie Ihre Websites, Anwendungen und APIs mit einem Pentest! Interaktive Webanwendungen sind Teil von digitalen Geschäftsmodellen und besitzen weitreichende Berechtigungen in der Infrastruktur. Daher ist eine Überprüfung der Angriffsvektoren und die allgemeine Cyber Security der Website essentiell für Ihr Unternehmen.

Definition und Erklärung

Was ist Web und API Penetration Testing?

Web Penetration Testing ist, wie der Name schon sagt, ein Pentest, der sich ausschließlich auf eine Web- oder API-Anwendung und nicht auf ein Netzwerk oder Unternehmen konzentriert. Das zugrunde liegende Konzept und die Ziele zur Aufdeckung von Sicherheitsschwächen und zur Stärkung der Verteidigungsmechanismen sind identisch.

scan

Schnittstellen sowie Front- und Backend

Penetration Test für alle Webtechnologien

Unsere Leistungen bieten vollumfänglichen Schutz vor realen Bedrohungen durch einen Penetration Test. Wir überprüfen Ihr Frontend sowie Backend mit allen gängigen Datenbanksystemen und den dazugehörigen Schnittstellen (API). Fortgeschrittene Kenntnisse im Bereich der Betriebssysteme, Web-Apps und Webservern ermöglicht es uns tieferliegende Schwachstellen aufzudecken.

Cyber Security von Webseiten

Website Cyber Security prüfen mit turingpoint.

Wir schützen Ihre Daten vor Verlust und prüfen die Einhaltung von Verteidigungsmechanismen und starker Cyber Security.

Frontend / Backend
Sowohl im Frontend, zu Deutsch Präsentationsschicht, oder dem Backend, auch Datenzugriffsschicht genannt, können Schwachstellen auftreten.
Datenbanken samt API
Die Datenbank und dessen Verwaltung und die Schnittstellen (APIs) sind kritische Komponenten, die überprüft werden müssen.
Komplexe Geschäftslogik in Online-Lösungen
Jede Anwendung ist einzigartig und muss kritisch hinterfragt werden. Hierzu gehören auch Schwachstellen, die ein legitimer Teil der eigentlichen Anwendung sind.
cloud transformation

Erfahren Sie mehr über die Durchführung von Penetration Tests mit turingpoint!

Penetrationstest für sichere Webanwendungen

Penetrationstest für ein hohes IT-Sicherheitsniveau

Grundsätzlich gilt, je länger unsere Security Engineers den Web-Penetrationstest durchführen oder Ihre API untersuchen, desto aussagekräftiger sind die Ergebnisse. Sollten Sie spezielle Ansprüche haben, machen wir Ihnen gerne ein individuelles Angebot.

Informationsbeschaffung

Es gibt direkte und indirekte Methoden der Suchmaschinen-Suche und -Aufklärung. Direkte Methoden beziehen sich auf das Durchsuchen der Indizes und der zugehörigen Inhalte aus dem Cache. Indirekte Methoden beziehen sich auf das Sammeln sensibler Design- und Konfigurationsinformationen durch die Suche in Foren, Newsgroups und Ausschreibungen von Websites.

Konfigurationsmanagement

Die eigentliche Komplexität der vernetzten und heterogenen Webserver-Infrastruktur, die mehrere Webanwendungen umfassen kann, macht Konfigurationsmanagement und Review zu einem grundlegenden Schritt beim Testen und Bereitstellen jeder einzelnen Anwendung. Es bedarf nur einer einzigen Schwachstelle, um die Sicherheit der gesamten Infrastruktur zu gefährden. Wir prüfen Ihre gesamte Website-Sicherheit.

Sessionmanagement

Eine der Kernkomponenten jeder webbasierten Anwendung ist der Mechanismus, den Zustand für einen Benutzer, der mit ihr interagiert, steuert und aufrechterhält. Dies wird als Sessionmanagement bezeichnet und ist definiert als der Satz aller Kontrollen, die die zustandsorientierte Interaktion zwischen einem Benutzer und der Anwendung regeln.

Fehlerbehandlung

Häufig stoßen wir bei einem Pentest bei Webanwendungen auf viele Fehlermeldungen, die von Anwendungen oder Web-Servern generiert werden. Diese Fehlermeldungen sind für Angreifer sehr nützlich, da sie viele Informationen über Datenbanken, Fehler und andere technologische Komponenten enthalten, die direkt mit Web-Anwendungen verbunden sind.

Identitätsmanagement

In modernen Anwendungen ist es üblich, Systemrollen zur Verwaltung von Benutzern und Berechtigungen für Systemressourcen zu definieren. Administratoren stellen eine Rolle dar, die den Zugriff auf privilegierte und sensible Funktionen und Informationen ermöglicht, normale Benutzer eine Rolle, die den Zugriff auf reguläre Geschäftsfunktionen und -informationen ermöglicht.

Authentifizierung

Das Testen des Transports der Anmeldeinformationen bedeutet, dass überprüft wird, ob die Daten unverschlüsselt vom Browser zum Server übertragen werden oder ob die Web-Anwendung die entsprechenden Sicherheitsmaßnahmen mit einem Protokoll wie HTTPS verwendet. Das HTTPS-Protokoll basiert auf TLS/SSL, um die übertragenen Daten zu verschlüsseln.

Berechtigungen

Viele Webanwendungen verwenden und verwalten Daten als Teil ihres täglichen Betriebes. Mit Eingabe-Validierungsmethoden, die nicht gut konzipiert oder eingesetzt wurden, könnte ein Angreifer das System ausnutzen, um Daten zu lesen oder zu schreiben, die nicht zugänglich sein sollen. In besonderen Situationen kann es möglich sein, beliebige Systembefehle auszuführen.

Eingabevalidierung

Die häufigsten Sicherheitslücken bei Web-Anwendungen entstehen, wenn Eingaben der Benutzer nicht ordnungsgemäß zu validiert werden. Diese Schwäche führt zu fast allen großen Schwachstellen in Webanwendungen, wie Cross-Site-Scripting, SQL-Injection, Interpreter-Injektion, Lokal- und Unicode-Angriffe, Dateisystem-Angriffe und Pufferüberläufe.

Kryptographie

Sensible Daten müssen bei der Übertragung über das Netzwerk geschützt werden. Zu diesen Daten können Benutzerdaten gehören. Selbst wenn heute normalerweise hochwertige Verschlüsselungen verwendet werden, kann eine Fehlkonfiguration dazu führen, dass eine schwache Verschlüsselung erzwungen wird, die es einem Angreifer ermöglicht, sensible Daten auszulesen.

Geschäftslogik

Das Testen auf Fehler in der Geschäftslogik erfordert oft unkonventionellen Methoden. Wenn der Authentifizierungsmechanismus einer Anwendung entwickelt wird, die Schritte 1, 2, 3 in dieser spezifischen Reihenfolge auszuführen, um einen Benutzer zu authentifizieren. Was passiert, wenn der Benutzer von Schritt 1 direkt zu Schritt 3 geht?

Benutzerseitige Schwachstellen

Das clientseitige Testen befasst sich mit der Ausführung von Code auf dem Client, typischerweise nativ in einem Webbrowser oder Browser-Plugin. Die Ausführung von Code auf der Clientseite unterscheidet sich von der Ausführung auf dem Server und der Rückgabe des nachfolgenden Inhalts. Hierbei wird auf alle gängigen Arten von Cross-Site-Scripting getestet.

APIs

Moderne Anwendungen verwendet eine API für den Aufruf von Micro Services, die Durchführung von Aktionen oder die Überwachung des Nutzerverhaltens. Das Design oder die Struktur der API wird den Anwendern oft öffentlich zugänglich gemacht. Aufgrund dieser Struktur kann der Angreifer die API verstehen und die Informationen für weitere Angriffe verwenden.

Patchmanagement

Der Begriff Patchmanagement bezeichnet die strategische Steuerung zum Einspielen von Systemaktualisierungen, mit denen erst nach der Markteinführung erkannte Sicherheitslücken in Software-Anwendungen geschlossen werden. Veraltete Softwarepakete oder Frameworks aus externen Quellen sollten immer auf dem neuesten Stand sein.

Aktuelle Informationen

Aktuelle Blog-Artikel

Unsere Mitarbeiter veröffentlichen regelmäßig Artikel zum Thema IT-Security

Kontakt

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link, um einen Termin auszuwählen: