Web-Applikations Penetrationstest
Wir testen Ihre Web-Applikationen
Bei einem Penetrationstest ihrer Webanwendungen und Webseiten überprüfen unsere Hacker manuell, ob sie Schwachstellen enthalten.
Dabei orientieren wir uns in erster Linie an den OWASP Top 10.
Wir gehen beim Web-App PenTest nicht nach Schema-F vor, sondern lassen uns auf jede Applikation neu ein, sodass wir nicht nur die klassischen, sondern auch applikationsspezifische Schwachstellen aufdecken.
Welche Schwachstellen kann eine Web-Anwendung enthalten?
Web-Applikationen können unterschiedlichste Schwachstellen enthalten. Schwachstellen, die wir bei unseren Penetrationstests immer wieder finden, sind nachfolgend aufgelistet.
- Unsichere Zugriffskontrollen
- Kryptographische Schwachstellen und Fehler
- Injektionsmöglichkeiten
- Unsicheres Design
- Schwachstellen und Fehler bei Authentication und Identification
- Schwachstellen und Fehler in der Software and Daten Integrität
- Schwachstellen und Fehler beim Security Logging and Monitoring
- Schwachstellen und Fehler bei Authentication und Identification
- Schwachstellen und Fehler in der Software and Daten Integrität
- Security Fehlkonfigurationen
- Server-Side Request Forgery
- Logikfehler
Arten von Web-App Penetrationstests
Web-App PenTests können auf unterschiedliche Weise durchgeführt werden. In der Regel unterscheidet sich die Herangehensweise an der bereitgestellten Wissensbasis, die Ausgangspunkt für unsere IT-Sicherheitsanalysten sind.
Black Box – Wenige bis keine Informationen
Penetrationstest der Anwendung ohne bisher registrierten Nutzer. Es stehen keine zusätzlichen Informationen zur Verfügung.
Grey Box – Zusätzliche Initial-Informationen
Zugriff auf verschiedene Nutzer, welche unterschiedlich hohe Rechte besitzen. So können wir schneller prüfen, ob Endpunkte durch niedrig-privilegierte Nutzer angesprochen werden können, die höher-privilegierten Nutzer vorbehalten sein sollten.
White Box – Umfassende Informationen und Zugang zur Anwendung, deren Quellcode, unterschiedlichen Nutzern und Logging-Informationen
Der zielführendste Ansatz: Wir haben Zugriff auf unterschiedliche Nutzer mit verschiedenen Rechten, als auch auf Teile des Quellcodes und der anfallenden Logs. Wir können hier ein umfassendes Bild über die Sicherheit der Anwendung gewinnen.
Wann macht ein Web-App PenTest für mein Unternehmen Sinn?
- Sie betreiben einen Online-Shop oder eine andere Web-Anwendung, die sensible Daten für Kunden, Partner oder Mitarbeitende online verfügbar macht.
- Alternativ sind Sie Entwickler von Web-Anwendungen und legen hohen Wert auf IT-Sicherheit.
- Sie möchten wissen, wie Sie Ihre Web-Anwendungen zielführend und konsequent absichern.
- Sie möchten die Schwachstellen Ihrer Anwendungen kennen, bevor es zu einem Datenleck kommt.
Die Kollegen von Laokoon waren für uns bei wirklich jeder Frage umgehend zur Stelle und haben unkompliziert unterstützt.
Teamleiter Entwicklung