Zusätzlich zu unseren Standard Web Application Tests bieten wir Ihnen die Möglichkeit, Ihre Anwendung bei Bedarf nach dem OWASP Application Security Verification Standard (ASVS) auditieren zu lassen; Mobile Anwendungen entsprechend nach dem Mobile Application Security Verification Standard (MASVS).
Der ASVS formuliert eine ausführliche Liste an Anforderungen, die bei Entwicklung und Betrieb sicherer Software beachtet werden sollten. Er eignet sich besonders als Leitfaden während der Entwicklung, um im Rahmen eines Secure Software Development Lifecycle Sicherheitsanforderungen möglichst frühzeitig zu definieren und umfassend in den Prozess zu integrieren. Aber auch zur Bewertung und Verifizierung der Sicherheit einer fertigen Anwendung bietet sich eine Analyse nach den Vorgaben des ASVS an.
Der ASVS behandelt sowohl sehr technische Aspekte (z.B. „Stellen Sie sicher, dass Ihr Code konzeptionell sicher gegen SQL-Injection-Angriffe ist.“), als auch konzeptionelle Punkte (u.a. „Landen sensible Daten in Logs? Wo werden Logs abgelegt? Wer hat darauf Zugriff?“). Eine Analyse nach ASVS umfasst somit fast immer Themen, die nicht allein durch Blackbox-Tests abgedeckt werden können. Für diese Aspekte werden Maßnahmen wie Sourcecodeanalysen, Konfigurationsreviews und Audits eingesetzt.
Je nach Schutzbedarf der Anwendung teilt die OWASP Anforderungen in die Level 1 bis 3 auf:
- Die Anforderungen des Level 1 richten sich an Anwendungen mit geringem Schutzbedarf und können in Form eines Penetrationstests geprüft werden.
- Level 2 umfasst Anwendungen, die teils schützenswerte Daten verwalten. Die meisten Anwendungen im betrieblichen Umfeld fallen unter diese Kategorie. Große Teile des Level 2 stellen dabei konzeptionelle Fragen, die in Form eines Audits beantwortet werden müssen.
- Level 3 schließlich formuliert Anforderungen für Anwendungen mit besonderem Schutzbedarf, z.B. solche, die medizinische Daten verwalten.
Die Dokumentation der Ergebnisse erfolgt übersichtlich in einer Excel-Datei, in welcher sämtliche Anforderungen des ASVS samt Testergebnissen und Bewertung strukturiert und leicht durchsuchbar aufgeführt sind. Zusätzlich wird eine Management-Summary verfasst, welche die wichtigsten Erkenntnisse für Entscheider beschreibt und zusammenfasst.
Wir unterstützen Sie bei:
- Überprüfung Ihrer Webanwendung nach OWASP ASVS oder Ihrer mobilen App nach MASVS mit Hilfe von Penetrationstests, Sourcecodeanalysen, Konfigurationsreviews und Audits
- Übersichtliche und einfache Dokumentation der Ergebnisse mit Maßnahmenvorschlägen
Für mehr Informationen über den OWASP ASVS, besuchen Sie die offizielle Seite.
Weitere Informationen zu unserem Testvorgehen finden Sie hier.
Siehe auch:
Statische Codeanalyse kann eine Ergänzung oder Alternative zum Penetrationstest sein:
Weiterführende Informationen:
Für mehr Informationen über den OWASP ASVS, besuchen Sie die offizielle Seite.
Die große Application Security Penetration Test FAQ für Auftraggeber gibt Antworten auf viele wichtige Fragen rund um die Beauftragung von Penetrationstests.
Ihr Ansprechpartner:
Björn Kirschner
Nehmen Sie Kontakt per Email auf.
Oder rufen Sie uns an oder nutzen Sie unser Kontaktformular.
