Ablauf

Web Application Penetrationstest

Ein Web Application Penetration Test (WAPT) ist eine IT-Sicherheitsmaßnahme, mit der die Sicherheit von Webanwendungen überprüft wird. Ziel ist es, bestehende Sicherheitslücken und mögliche Angriffspunkte in der Webanwendung aufzudecken und die Sicherheit der Webapplikation auf diese Weise zu erhöhen.

Wir überprüfen ebenso die Sicherheit des zugrundeliegenden Backendsystems (Webserver) der jeweiligen Webanwendung.


Sind Webanwendungen nicht ausreichend geschützt, können sie zum Ziel potenzieller Hackerangriffe werden. Diese gefährden neben sensiblen Kundendaten auch interne Unternehmensnetzwerke.


Wir führen die Web Application Penetration Tests in fünf Phasen durch.


Planung und Vorbereitung (PLANING)
In der Vorbereitungsphase legen wir in Absprache mit Ihnen Ziele und Umfang des Web Application Penetration Tests fest.
   

Aufklärung (RECON)
Sammeln von öffentliche Informationen, die über Suchmaschinen und Verzeichnisdienste ersichtlich sind.


Scannen (Discovery)
Kontaktaufnahme zum Zielsystem auf – mithilfe von Scans des Systems und Erkundung zugänglicher Schnittstellen und verwendeter Protokolle.


Schwachstellenanalyse (Vulnerability Analysis)
Wir analysieren das System und entscheiden, welche Angriffsmöglichkeiten sich bieten. Ziel ist nicht nur ein erfolgreicher Zugriff,    sondern eine möglichst vollständige Analyse der gesamten Sicherheit des Systems. Es werden alle Parameter einer effektiven    Verteidigung geprüft, insbesondere Verfügbarkeit, Integrität und Vertraulichkeit von Daten sowie die "Kronjuwelen des    Unternehmen".


Prüfung Web  Komponenten
- Überprüfung der Login- und Passwort-Reset-Funktionalität auf Schwachstellen
- Rudimentäre Überprüfung auf Injection-Angriffe wie Cross Site Scripting (XSS) und SQL Injection (SQLi) sowie auf Cross Site Request Forgery (CSRF)
- Ausgiebiges Testen aller Webformulare auf Sicherheitslücken, wie z.B. Injection-Angriffe
- Enumerierung und rudimentäres Testen der API-Endpunkte
- Rudimentäre Überprüfung des Berechtigungskonzepts auf Schwachstellen in der Autorisierung
- Abdeckung des kompletten OWASP Top 10-Katalogs in den Tests
- Detaillierte Tests aller Eingabemöglichkeiten, aller gefundenen API-Endpunkte und des Berechtigungskonzepts
- Enumeration von Kundenkonten, falls nötig auch über Bruteforce-Angriffe


Zugang zum System etablieren (Exploit)
Beim eigentlichen Angriff versuchen wir, die identifizierten Schwachstellen auszunutzen, um in das System einzudringen. Wir simulieren verschiedene Angriffsszenarien und arbeiten sich sukzessive zu Schwachstellen in tieferen Verteidigungsschichten vor, über die Angreifer das System im Worst case vollständig kompromittieren können.

Nach Abschluss des Penetrationstests erstellen wir einen detaillierten Penetration Test Bericht.

Im Bericht werden unter anderen folgendes berücksichtigt:

o Berichterstellung in deutscher Sprache mit Darstellung aller gefundenen Schwachstellen
o Detaildarstellung der Befunde enthält eine Beschreibung der Schwachstelle  und eine Empfehlungen zur Mitigation
o Qualitätssicherung des Berichts
o Die Zusendung des Berichts erfolgt innerhalb von 10 Werktagen


Sie erhalten eine Zusammenfassung der ausgeführten Tests, identifizierter Schwachstellen und deren potenzieller Auswirkungen. Außerdem zeigen wir Ihnen auf die gefundenen Schwachstellen dementsprechenden Empfehlungen.