Webanwendungen

Webanwendungen haben vielfältige Einsatzzwecke und bieten ein großes Angriffspotenzial, da sie meist öffentlich oder im gesamten Firmennetz erreichbar sind. Die typischen Webanwendungen, die wir untersuchen, reichen von Firmen-Webseiten und Webshops über Online-Banking und Kundenplattformen bis hin zu Verwaltungs-Programmen.

Warum Pentests von Webanwendungen

s

Unser wichtigster Grund für Pentests von Webanwendung ist das Aufdecken von Schwachstellen, über die:

  • Andere Anwender angegriffen werden können
  • Sensible Informationen und Firmendaten abgegriffen werden können
  • Abläufe in der Anwendung manipuliert werden können
  • Andere Systeme angegriffen werden können, die nach einem erfolgreichen Angriff auf den Webserver interessante nächste Ziele sind

 

Wann Pentests von Webanwendungen

Die besten Zeitpunkte sind aus unserer Sicht:

  • Begleitend zur Entwicklung, um frühzeitig Design-Schwächen zu beheben
  • Idealerweise vor der produktiven Verwendung
  • Bei Änderungen von Komponenten und neuen Funktionen
  • Regelmäßig, um Anfälligkeiten gegenüber neuen Angriffsmöglichkeiten zu prüfen

 

Ergebnisse

i

Typische Pentest-Ergebnisse sind:

  • Technische Schwachstellen, die z. B. unbefugten Zugriff auf Daten ermöglichen oder über die schädlicher Code auf Geräten anderer Benutzer ausgeführt werden kann
  • Schwächen zu Prüfpunkten aus dem OWASP Testing Guide
  • Schwachstellen aus den OWASP Top 10
  • Schwachstellen in fachlichen Abläufen, wie Umgehen eines 4-Augen-Prinzips, Genehmigen eigener Anträge oder mehrfaches Ausführen von einmaligen Aktionen
  • Aussage über das Sicherheitsniveau der Anwendung und des Webservers

 

Was wir von euch brauchen

Für den Pentest einer Webanwendung benötigen wir von euch:

  • Zugriff auf die Anwendung, am besten in einer Test-Umgebung mit Test-Daten
  • Benutzerkonten für alle Rollen, die getestet werden sollen
  • Sofern möglich: Bereitstellen des Quellcodes der Anwendung
  • Freischaltung unserer IP-Adresse in eventuellen Schutzsystemen, wie Web Application Firewalls (WAF) und Intrusion Prevention Systemen (IPS)
  • Informieren von beteiligten Personen, wie externe Hoster
  • Gebt uns gerne fachliche Worst-Case-Szenarien mit, die wir gezielt anschauen werden

 

Bereit für mehr IT-Sicherheit?

Dann nutze unseren Konfigurator, um ein passendes Angebot anzufragen oder schreibe uns, um ein individuelles Angebot zu erhalten.

Konfigurator
Kontakt