Web- und API-Pentest

Interaktive Webanwendungen sind Teil von digitalen Geschäftsmodellen und besitzen weitreichende Berechtigungen in der Infrastruktur. Daher ist eine Überprüfung der Angriffsvektoren essenziell für Ihr Unternehmen.

Web- und API-Pentest

Interaktive Webanwendungen sind Teil von digitalen Geschäftsmodellen und besitzen weitreichende Berechtigungen in der Infrastruktur. Daher ist eine Überprüfung der Angriffsvektoren essenziell für Ihr Unternehmen.

Was ist ein Web- und API-Pentest?

Ein Web-Pentest ist, wie der Name schon sagt, ein Penetrationstest, der sich ausschließlich auf eine Web- oder API-Anwendung und nicht auf ein Netzwerk oder Unternehmen konzentriert. Das zugrunde liegende Konzept und die Ziele zur Aufdeckung von Sicherheitsschwächen und zur Stärkung der Verteidigungsmechanismen sind identisch.

Unsere Leistungen bieten vollumfänglichen Schutz vor realen Bedrohungen. Wir überprüfen Ihr Frontend sowie Backend mit allen gängigen Datenbanksystemen und den dazugehörigen Schnittstellen (API). Fortgeschrittene Kenntnisse im Bereich der Betriebssysteme und Webservern ermöglicht es uns tieferliegende Schwachstellen aufzudecken.

Datenverarbeitende Webdienste benötigen besondere Aufmerksamkeit!

Der Web-Pentest wird von unseren speziell ausgebildeten Ethical Hackern geplant, durchgeführt und ausgewertet.

Wir schützen Ihre Daten vor Verlust und prüfen die Einhaltung von Verteidigungsmechanismen.
  • Erfüllung von Sicherheitsstandards der Industrie mit Zertifizierung für den Kunden
  • Umfangreiche Empfehlung für die Behebung der Schwachstellen
  • Einmalige Nachprüfung kostenlos
  • Eigene und ständig aktualisierte Scanner-Software zusätzlich zu den gängigen kommerziellen Tools
  • Eine umfangreiche Forschung stellt sicher, dass auch tagesaktuelle Schwachstellen identifiziert werden können.
Wir führen Sicherheitsanalysen auf Basis von anerkannten Standards und Richtlinien durch.
  • Wir auditieren Web-Anwendungen anhand des OWASP Testing Guides. Unsere Tools und Verfahren sind in der Lage, die Schwachstellen-Kategorien der OWASP Top 10 bestmöglich zu identifizieren.
  • Unsere Prozesse sind an den Praxis-Leitfaden für Pentests des Bundesamts für Informationssicherheit (BSI) und an die EU-DSGVO angepasst.
  • Eine Ausrichtung an die Standards OSSTMM, NIST CIS und PCIDSS ist auf Wunsch auch möglich.

Testmodule für ein hohes IT-Sicherheitsniveau

Grundsätzlich gilt, je länger unsere Security Engineers Ihre Web-Anwendungen oder API untersuchen, desto aussagekräftiger sind die Ergebnisse. Sollten Sie spezielle Ansprüche haben, machen wir Ihnen gerne ein individuelles Angebot.

  • Informationsbeschaffung

    Es gibt direkte und indirekte Methoden der Suchmaschinen-Suche und -Aufklärung. Direkte Methoden beziehen sich auf das Durchsuchen der Indizes und der zugehörigen Inhalte aus dem Cache. Indirekte Methoden beziehen sich auf das Sammeln sensibler Design- und Konfigurationsinformationen durch die Suche in Foren, Newsgroups und Ausschreibungen von Websites.

  • Konfigurationsmangement

    Die eigentliche Komplexität der vernetzten und heterogenen Webserver-Infrastruktur, die mehrere Webanwendungen umfassen kann, macht Konfigurationsmanagement und Review zu einem grundlegenden Schritt beim Testen und Bereitstellen jeder einzelnen Anwendung. Es bedarf nur einer einzigen Schwachstelle, um die Sicherheit der gesamten Infrastruktur zu gefährden.

  • Sessionmanagement

    Eine der Kernkomponenten jeder webbasierten Anwendung ist der Mechanismus, den Zustand für einen Benutzer, der mit ihr interagiert, steuert und aufrechterhält. Dies wird als Session-Management bezeichnet und ist definiert als der Satz aller Kontrollen, die die zustandsorientierte Interaktion zwischen einem Benutzer und der Anwendung regeln.

  • Fehlerbehandlung

    Häufig stoßen wir bei einem Pentest bei Webanwendungen auf viele Fehlermeldungen, die von Anwendungen oder Web Servern generiert werden. Diese Fehlermeldungen sind für Angreifer sehr nützlich, da sie viele Informationen über Datenbanken, Fehler und andere technologische Komponenten enthalten, die direkt mit Webanwendungen verbunden sind.

  • Identitätsmanagement

    In modernen Anwendungen ist es üblich, Systemrollen zur Verwaltung von Benutzern und Berechtigungen für Systemressourcen zu definieren. Administratoren stellen eine Rolle dar, die den Zugriff auf privilegierte und sensible Funktionen und Informationen ermöglicht, normale Benutzer eine Rolle, die den Zugriff auf reguläre Geschäftsfunktionen und -informationen ermöglicht.

  • Authentifizierung

    Das Testen des Transports der Anmeldeinformationen bedeutet, dass überprüft wird, ob die Daten unverschlüsselt vom Browser zum Server übertragen werden oder ob die Webanwendung die entsprechenden Sicherheitsmaßnahmen mit einem Protokoll wie HTTPS verwendet. Das HTTPS-Protokoll basiert auf TLS/SSL, um die übertragenen Daten zu verschlüsseln.

  • Berechtigungen

    Viele Webanwendungen verwenden und verwalten Daten als Teil ihres täglichen Betriebes. Mit Eingabe-Validierungsmethoden, die nicht gut konzipiert oder eingesetzt wurden, könnte ein Angreifer das System ausnutzen, um Daten zu lesen oder zu schreiben, die nicht zugänglich sein sollen. In besonderen Situationen kann es möglich sein, beliebige Systembefehle auszuführen.

  • Eingabevalidierung

    Die häufigsten Sicherheitslücken bei Webanwendungen entstehen, wenn Eingaben der Benutzer nicht ordnungsgemäß zu validiert werden. Diese Schwäche führt zu fast allen großen Schwachstellen in Webanwendungen, wie Cross-Site-Scripting, SQL-Injection, Interpreter-Injektion, Lokal- und Unicode-Angriffe, Dateisystem-Angriffe und Pufferüberläufe.

  • Kryptographie

    Sensible Daten müssen bei der Übertragung über das Netzwerk geschützt werden. Zu diesen Daten können Benutzerdaten gehören. Selbst wenn heute normalerweise hochwertige Verschlüsselungen verwendet werden, kann eine Fehlkonfiguration dazu führen, dass eine schwache Verschlüsselung erzwungen wird, die es einem Angreifer ermöglicht, sensible Daten auszulesen.

  • Geschäftslogik

    Das Testen auf Fehler in der Geschäftslogik erfordert oft unkonventionellen Methoden. Wenn der Authentifizierungsmechanismus einer Anwendung entwickelt wird, die Schritte 1, 2, 3 in dieser spezifischen Reihenfolge auszuführen, um einen Benutzer zu authentifizieren. Was passiert, wenn der Benutzer von Schritt 1 direkt zu Schritt 3 geht?

  • Benutzerseitige Schwachstellen

    Das clientseitige Testen befasst sich mit der Ausführung von Code auf dem Client, typischerweise nativ in einem Webbrowser oder Browser-Plugin. Die Ausführung von Code auf der Clientseite unterscheidet sich von der Ausführung auf dem Server und der Rückgabe des nachfolgenden Inhalts. Hierbei wird auf alle gängigen Arten von Cross-Site-Scripting getestet.

  • APIs

    Moderne Anwendungen verwendet eine API für den Aufruf von Micro Services, die Durchführung von Aktionen oder die Überwachung des Nutzerverhaltens. Das Design oder die Struktur der API wird den Anwendern oft öffentlich zugänglich gemacht. Aufgrund dieser Struktur kann der Angreifer die API verstehen und die Informationen für weitere Angriffe verwenden.

  • Patchmanagement

    Der Begriff Patchmanagement bezeichnet die strategische Steuerung zum Einspielen von Systemaktualisierungen, mit denen erst nach der Markteinführung erkannte Sicherheitslücken in Software-Anwendungen geschlossen werden. Veraltete Softwarepakete oder Frameworks aus externen Quellen sollten immer auf dem neuesten Stand sein.

Web-Pentest

Abschlussbericht des IT-Sicherheitsaudit

Wir haben ein umfangreiches Berichtsformat entwickelt, das optimalen Einblick in unsere Arbeit und dessen Ergebnisse ermöglicht. Pentests werden von uns nach dem OWASP Security Testing Guide durchgeführt und auch dementsprechend ausgewertet.

  • Unser Bericht wird nach annerkannten Standards erstellt und enthält u. a. eineManagement Summary, eine Schwachstellenübersicht, details zur Schwachstellen und Behebungs-Schritte. Die Bewertung der Findings richtet sich nach dem CVSS 3.0 Standard.
  • Unser ausführliches Berichtsformat gibt nicht nur Aufschluss darüber, welche Schwachstellen während des Pentests identifiziert wurden, sondern auch welche Angriffsvektoren dabei überprüft wurden. Somit können Sie unsere Arbeit optimal nachvollziehen.
  • Der Abschlussbericht wird individuell erstellt und sowohl als klassisches PDF-Dokument, als auch in einem speziellem HTML-Format ausgeliefert. Im dynamischen HTML-Format können Inhalte und Schwachstellen-Funde gefiltert, sortiert und in andere Formate exportiert werden.
  • In einem gemeinsamen Abschlussgespräch besprechen wir mit Ihnen die Details des Berichts und unterstützen Sie bei Bedarf bei der Behebung der identifizierten Schwachstellen.
Pentest-Report

Web-Pentest Ablauf

Der von uns durchgeführte Pentest ist ein agiler Prozess und wird in enger Absprache mit dem Kunden durchgeführt.

Kick-Off

Bei einem gemeinsamen Kick-Off-Gespräch werden die zu prüfenden Rahmenbedingungen spezifiziert, es werden notwendige Benutzerkonten und Zugriffswege abgestimmt, Ansprechpartner und Eskalationswege definiert und der Pentest wird im Detail gemeinsam geplant.

Manual & Automated Research

Unsere Security Engineers versuchen möglichst viele Informationen zu sammeln. Auf Basis dieser Informationen werden Analysestrategien entwickelt, mit denen mögliche Angriffsvektoren identifiziert werden können. Diese Angriffsvektoren werden dann in umfangreichen Tests auf Schwachstellen untersucht.

Manual Exploitation

Hier wird versucht, die identifizierten Schwachstellen auszunutzen, um Zugriff auf die Zielsysteme zu erlangen. Dabei werden von unserem Pentester, abhängig vom jeweiligen Dienst oder der technischen Umgebung, neue Exploits geschrieben oder bestehende verwendet. Potentielle Schwachstellen können sich hier als False Positives herausstellen. Nur verifizierte Schwachstellen werden in den abschließenden Bericht aufgenommen und entsprechend ihrer Kritikalität nach CVSS 3.0 eingestuft.

Report

Wir haben ein umfangreiches Berichtsformat entwickelt, das optimalen Einblick in unsere Arbeit und dessen Ergebnisse ermöglicht. Dieser besteht aus einer Business-Risk-Analyse, Management Summary und einer umfangreichen Test- und Schwachstellenbeschreibung. Die Kritikalität der Schwachstellen und Handlungsempfehlungen werden darin ausführlich beschrieben.

Remediation (Optional)

Wenn die Analyse abgeschlossen ist, dann erfolgt die Behebung der identifizierten Schwachstellen Ihrerseits. Unsere Auswertungen bietet Ihnen detailierte Empfehlungen über die jeweilige Schwachstelle. Bei Bedarf können unsere Security Engineers umfangreiche Hilfestellungen für die Behebung geben.

Kostenlose Nachprüfung (Optional)

Gerne überprüfen wir die Sicherheitsschwächen erneut, um sicherzustellen, dass die Verteidigungsmechanismen korrekt umgesetzt worden sind.

Abschlussgespräch & Zertifizierung (Optional)

In dem Abschlussgespräch werden alle kritischen Punkte im Ergebnisbericht besprochen und alle Fragen geklärt. Abschließend überreichen wir Ihnen gerne ein Zertifikat als Nachweis für Ihre Kunden.

eBook: Den richtigen Pentest-Anbieter finden

Laden Sie sich unser kostenloses eBook "Den richtigen Pentest-Anbieter" herunter! Dieses eBook unterstützt Sie bei der Auswahl eines für Sie geeigneten Pentest-Dienstleisters.

Die Suche nach dem richtigen Anbieter für Pentests kann einen problematischen Prozess darstellen, insbesondere für diejenigen, die mit IT-Sicherheit nicht vertraut sind. Was benötige ich? Wie weiß ich, wer genügend technische Expertise vorweisen kann? Wie identifiziere ich unqualifizierte Anbieter? Wie erkenne ich gute Reputation und Kompetenz? Wie sollte die Dokumentation aussehen?

In diesem eBook nennen wir Ihnen 6 Fragen, die Sie potentiellen Dienstleistern Ihres nächsten Pentests stellen sollten. Sie werden wissen, worauf Sie bei der Anbieterauswahl achten müssen, wie Sie die verschiedenen Angebote vergleichen können und schließlich die beste Wahl für Ihre speziellen Anforderungen treffen können.

Laden Sie sich unser kostenloses eBook "Den richtigen Pentest-Anbieter finden" herunter:
eBook

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link um einen Termin auszuwählen:

 Termin vereinbaren

Schreiben Sie uns alternativ eine Nachricht. Fordern Sie noch heute einen Beispielbericht oder unser Leistungsportfolio an. Wir beraten Sie gerne!