Penetrationstest

Wir untersuchen Ihre Webanwendungen, Mobilen Apps und Webserver mit dem Mittel des Penetrations­tests (simulierte Hackerangriffe) auf Schwach­stellen. Sie erhalten von uns umfassende, nachvollziehbare Berichte, die für den Fachverantwortlichen eine Entscheidungsgrundlage und den Entwickler konkrete Handlungsanweisungen enthalten.

Umfassend

Die Untersuchung deckt alle 5 Ebenen im Klassifizierungsschema zur Organisation von Sicherheit in Webanwendungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ab und folgt den Empfehlungen des Open Web Application Security Projects (OWASP).

Zuverlässig

Der in unserem Wissenspool hinterlegte Erfahrungsschatz und die hohe Expertise unserer Tester sorgen für höchste Zuverlässigkeit bei der Schwachstellensuche.

Effizient

Dank unserer Erfahrung und durch den Einsatz leistungsfähiger Werkzeuge erreichen wir eine hohe Effizienz – und können entsprechend günstig anbieten.

Ersttest

Im Ersttest untersuchen wir den Testgegenstand gezielt nach Schwachstellen, die

  • eine weite Verbreitung haben und
  • ein erhöhtes Gefahrenpotential in sich bergen.

Der Ersttest ist besonders dann das geeignete Vorgehen, wenn eine Webanwendung oder eine Website zum ersten Mal einem Test unterzogen wird. Er liefert bei einem – hinsichtlich Kosten und Nutzen – optimierten Testbudget eine weitreichende Erkennung von Sicherheitsproblemen und versetzt den Auftraggeber in die Lage, den Sicherheitszustand zu bewerten.

Volltest

Der Volltest ist dann angebracht, wenn der Schwerpunkt auf der Herstellung maximaler Sicherheit liegt. Die Webanwendung bzw. Website wird dabei einem umfassenden und in die Tiefe gehenden Test unterzogen. Mittels einer auf unseren Erfahrungen basierenden Checkliste können Schutzbedarf und Testumfang ermittelt und ein Kosten/Nutzen-optimiertes Testbudget bereitgestellt werden. Beispiel: Bei einer sensitiven Anwendung wie z.B. einem Branchenportal, das mit wettbewerbskritischen Daten und Prozessen arbeitet, werden intensivere und tiefgehendere Tests durchgeführt als bei einer weniger kritischen Anwendung, wie etwa einem Diskussionsforum.

Low-Budget-Ansatz

Für besondere Fälle, z.B. wenn sehr viele ähnliche Webanwendungen gleichzeitig getestet werden sollen, bieten wir einen – auf die einzelne Webanwendung bezogen – sehr kostengünstigen Ansatz an.

Standards und Best Practices

Bei unseren Untersuchungen halten wir uns an bestehende Standards und Best Practices:

  • OWASP ASVS (Application Security Verification Standard)
  • OWASP Testing Guide
  • OWASP Top 10
  • OWASP Development Guide
  • Web Application Security Consortium (WASC) Threat Classification
  • PCI Data Security Standard (PCI-DSS)
  • BSI-Vorgaben „Durchführungskonzept für Penetrationstests“ und „Maßnahmenkatalog und Best Practices zur Sicherheit von Webanwendungen“

Umfang

Schwachstellen, die auf Implementierungs- und Konfigurationsfehler zurück­zuführen sind (Ebenen 1 und 3), sind nur ein Teil des Problems. Ein breites Einfallstor für Angreifer verbirgt sich häufig in fehlerhaft umgesetzter Businesslogik. Daher betrachten wir auch die logische und die semantische Ebene sowie den richtigen Einsatz von verfügbaren Sicherheitstechniken (Ebenen 2, 4 und 5). Unsere Tests betrachten die Anwendungssicherheit ganzheitlich!

Semantik

Schutz vor Täuschung und Betrug:

Zum Beispiel:
  • Informationen ermöglichen Social Engineering-Angriffe
  • Gebrauch von Popups u.ä. erleichtern Phishing-Angriffe
  • Keine Absicherung für den Fall der Fälschung der Website

Logik

Absicherung von Prozessen und Workflows als Ganzes

Zum Beispiel:
  • Verwendung unsicherer Email in einem ansonsten gesicherten Workflow
  • Angreifbarkeit des Passworts durch nachlässig gestaltete „Passwort vergessen“-Funktion
  • Die Verwendung sicherer Passworte wird nicht erzwungen

Implementierung

Vermeiden von Programmierfehlern, die zu Schwachstellen führen

Zum Beispiel:
  • Cross-Site Scripting
  • SQL-Injection
  • Session Riding

Technologie
Richtige Wahl und sicherer Einsatz von Technologie
Zum Beispiel:
  • unverschlüsselte Übertragung sensitiver Daten
  • Authentisierungsverfahren, die nicht dem Schutzbedarf angemessen sind
  • Ungenügende Randomness von Token

System

Absicherung der auf der Systemplattform eingesetzten Software

Zum Beispiel:
  • Fehler in der Konfiguration des Webservers
  • „Known Vulnerabilities“ in den eingesetzten Softwareprodukten
  • Mangelnder Zugriffsschutz in der Datenbank

Netzwerk & Host
Die Absicherung von Host und Netzwerk liegen nicht mehr im Verantwortungsbereich der Web Application Security. Es ist aber wichtig, Abhängigkeiten zu den darüber liegenden Ebenen zu berücksichtigen.
 

Ergebnisbericht

Als Ergebnis erhalten Sie einen umfassenden Report, der die Testfälle und gefundenen Probleme leicht nachvollziehbar darstellt und Auskunft über das Gefährdungs- und Bedrohungspotential liefert. Darüber hinaus geben wir detaillierte Hinweise zu deren Behebung.

 

Bewertungsverfahren

Die durchgeführten Tests wurden jeweils mit einem Gefahrenpotential (Schwere der Schwachstelle) und einer Eintrittswahrscheinlichkeit (Wahrscheinlichkeit, die Schwachstelle zu finden und auszunutzen) bewertet. Beim Gefahrenpotential bewerten wir mit einer eingängigen Ampelbewertung in hoch, mittel und niedrig. Die Eintrittswahrscheinlichkeit gibt an, wie leicht es für einen Angreifer ist, die Schwachstelle zu entdecken und auszunutzen.

 

icon_value+
wenig Kenntnisse erforderlich, leicht zu finden und leicht auszunutzen

gute Kenntnisse erforderlich, nur mit einigem Aufwand zu finden oder nur mit einigem Aufwand auszunutzen

weitreichende Kenntnisse erforderlich, schwer zu finden oder schwer auszunutzen

Aufbau der Testergebnisse

Für jede Schwachstelle bzw. Angriffstechnik gibt es ein eigenes Unterkapitel. Aufgeführt werden jeweils:

  • Erklärung: Die Schwachstelle bzw. Angriffstechnik wird allgemeinverständlich erklärt und auf weiterführende Informationsquellen verwiesen (z.B. Links).
  • Angriffsszenario / Bedrohung: Falls erforderlich, schildern wir hier mögliche Szenarien der Ausnutzung der gefundenen Schwachstelle, um dem Leser die Möglichkeit zu geben, das Risiko zu bewerten. Hierbei legen wir einen Worst-Case-Ansatz zugrunde, d. h. schildern im Zweifel das bedrohlichere Szenario. Diese Schilderung ist unabhängig von der Eintrittswahrscheinlichkeit.
  • Testfälle und Beispiele: Die durchgeführten Tests werden ausführlich beschrieben und mit Screenshots dokumentiert, sodass es für den Auftraggeber leicht ist, diese nachzuvollziehen und das Gefahrenpotential selbst beurteilen zu können.
  • Maßnahme: Wir geben, wo möglich, generelle Maßnahmen und Best Practices zur Lösung des gefundenen Problems an.

Siehe auch:

Statische Codeanalyse kann eine Ergänzung oder Alternative zum Penetrationstest sein:

Weiterführende Informationen:

Die große Application Security Penetration Test FAQ für Auftraggeber gibt Antworten auf viele wichtige Fragen rund um die Beauftragung von Penetrationstests.

Ihr Ansprechpartner:

Thomas Schönrich

Nehmen Sie Kontakt per Email auf.
Oder rufen Sie uns an oder nutzen Sie unser Kontaktformular.