Wir untersuchen Ihre Webanwendungen, Mobilen Apps und Webserver mit dem Mittel des Penetrationstests (simulierte Hackerangriffe) auf Schwachstellen. Sie erhalten von uns umfassende, nachvollziehbare Berichte, die für den Fachverantwortlichen eine Entscheidungsgrundlage und den Entwickler konkrete Handlungsanweisungen enthalten.
Umfassend
Die Untersuchung deckt alle 5 Ebenen im Klassifizierungsschema zur Organisation von Sicherheit in Webanwendungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ab und folgt den Empfehlungen des Open Web Application Security Projects (OWASP).
Zuverlässig
Der in unserem Wissenspool hinterlegte Erfahrungsschatz und die hohe Expertise unserer Tester sorgen für höchste Zuverlässigkeit bei der Schwachstellensuche.
Effizient
Dank unserer Erfahrung und durch den Einsatz leistungsfähiger Werkzeuge erreichen wir eine hohe Effizienz – und können entsprechend günstig anbieten.
Ersttest
Im Ersttest untersuchen wir den Testgegenstand gezielt nach Schwachstellen, die
- eine weite Verbreitung haben und
- ein erhöhtes Gefahrenpotential in sich bergen.
Der Ersttest ist besonders dann das geeignete Vorgehen, wenn eine Webanwendung oder eine Website zum ersten Mal einem Test unterzogen wird. Er liefert bei einem – hinsichtlich Kosten und Nutzen – optimierten Testbudget eine weitreichende Erkennung von Sicherheitsproblemen und versetzt den Auftraggeber in die Lage, den Sicherheitszustand zu bewerten.
Volltest
Der Volltest ist dann angebracht, wenn der Schwerpunkt auf der Herstellung maximaler Sicherheit liegt. Die Webanwendung bzw. Website wird dabei einem umfassenden und in die Tiefe gehenden Test unterzogen. Mittels einer auf unseren Erfahrungen basierenden Checkliste können Schutzbedarf und Testumfang ermittelt und ein Kosten/Nutzen-optimiertes Testbudget bereitgestellt werden. Beispiel: Bei einer sensitiven Anwendung wie z.B. einem Branchenportal, das mit wettbewerbskritischen Daten und Prozessen arbeitet, werden intensivere und tiefgehendere Tests durchgeführt als bei einer weniger kritischen Anwendung, wie etwa einem Diskussionsforum.
Low-Budget-Ansatz
Für besondere Fälle, z.B. wenn sehr viele ähnliche Webanwendungen gleichzeitig getestet werden sollen, bieten wir einen – auf die einzelne Webanwendung bezogen – sehr kostengünstigen Ansatz an.
Standards und Best Practices
Bei unseren Untersuchungen halten wir uns an bestehende Standards und Best Practices:
- OWASP ASVS (Application Security Verification Standard)
- OWASP Testing Guide
- OWASP Top 10
- OWASP Development Guide
- Web Application Security Consortium (WASC) Threat Classification
- PCI Data Security Standard (PCI-DSS)
- BSI-Vorgaben „Durchführungskonzept für Penetrationstests“ und „Maßnahmenkatalog und Best Practices zur Sicherheit von Webanwendungen“
Umfang
Schwachstellen, die auf Implementierungs- und Konfigurationsfehler zurückzuführen sind (Ebenen 1 und 3), sind nur ein Teil des Problems. Ein breites Einfallstor für Angreifer verbirgt sich häufig in fehlerhaft umgesetzter Businesslogik. Daher betrachten wir auch die logische und die semantische Ebene sowie den richtigen Einsatz von verfügbaren Sicherheitstechniken (Ebenen 2, 4 und 5). Unsere Tests betrachten die Anwendungssicherheit ganzheitlich!
Semantik
Schutz vor Täuschung und Betrug:
- Informationen ermöglichen Social Engineering-Angriffe
- Gebrauch von Popups u.ä. erleichtern Phishing-Angriffe
- Keine Absicherung für den Fall der Fälschung der Website
Logik
Absicherung von Prozessen und Workflows als Ganzes
- Verwendung unsicherer Email in einem ansonsten gesicherten Workflow
- Angreifbarkeit des Passworts durch nachlässig gestaltete „Passwort vergessen“-Funktion
- Die Verwendung sicherer Passworte wird nicht erzwungen
Implementierung
Vermeiden von Programmierfehlern, die zu Schwachstellen führen
- Cross-Site Scripting
- SQL-Injection
- Session Riding
Technologie
- unverschlüsselte Übertragung sensitiver Daten
- Authentisierungsverfahren, die nicht dem Schutzbedarf angemessen sind
- Ungenügende Randomness von Token
System
Absicherung der auf der Systemplattform eingesetzten Software
- Fehler in der Konfiguration des Webservers
- „Known Vulnerabilities“ in den eingesetzten Softwareprodukten
- Mangelnder Zugriffsschutz in der Datenbank
Netzwerk & Host
Ergebnisbericht
Als Ergebnis erhalten Sie einen umfassenden Report, der die Testfälle und gefundenen Probleme leicht nachvollziehbar darstellt und Auskunft über das Gefährdungs- und Bedrohungspotential liefert. Darüber hinaus geben wir detaillierte Hinweise zu deren Behebung.
Bewertungsverfahren
Aufbau der Testergebnisse
Für jede Schwachstelle bzw. Angriffstechnik gibt es ein eigenes Unterkapitel. Aufgeführt werden jeweils:
- Erklärung: Die Schwachstelle bzw. Angriffstechnik wird allgemeinverständlich erklärt und auf weiterführende Informationsquellen verwiesen (z.B. Links).
- Angriffsszenario / Bedrohung: Falls erforderlich, schildern wir hier mögliche Szenarien der Ausnutzung der gefundenen Schwachstelle, um dem Leser die Möglichkeit zu geben, das Risiko zu bewerten. Hierbei legen wir einen Worst-Case-Ansatz zugrunde, d. h. schildern im Zweifel das bedrohlichere Szenario. Diese Schilderung ist unabhängig von der Eintrittswahrscheinlichkeit.
- Testfälle und Beispiele: Die durchgeführten Tests werden ausführlich beschrieben und mit Screenshots dokumentiert, sodass es für den Auftraggeber leicht ist, diese nachzuvollziehen und das Gefahrenpotential selbst beurteilen zu können.
- Maßnahme: Wir geben, wo möglich, generelle Maßnahmen und Best Practices zur Lösung des gefundenen Problems an.
Siehe auch:
Statische Codeanalyse kann eine Ergänzung oder Alternative zum Penetrationstest sein:
Weiterführende Informationen:
Die große Application Security Penetration Test FAQ für Auftraggeber gibt Antworten auf viele wichtige Fragen rund um die Beauftragung von Penetrationstests.

Ihr Ansprechpartner:
Thomas Schönrich
Nehmen Sie Kontakt per Email auf.
Oder rufen Sie uns an oder nutzen Sie unser Kontaktformular.