We use cookies to enhance your experience. By continuing to visit this site you agree to our use of cookies.

Penetrationstests für Webanwendungen

Ein Penetrationstest für Webanwendungen ist ein simulierter Angriff auf Ihre Webanwendung, der darauf abzielt, Schwachstellen in der Cybersicherheit aufzudecken. Das Ergebnis eines solchen Penetrationstests ist ein umfassender Bericht und eine Präsentation, die alle in Ihrer Anwendung gefundenen Sicherheitsschwachstellen zusammenfasst und eine optimale Strategie zu deren Behebung aufzeigt.

Auxilium Cyber Security hat Erfahrung im Testen einer breiten Palette von Webanwendungen, von Node.js über Python Plone CMS, ASP.NET bis hin zu Webanwendungen in PHP.

Zielsetzung

Das Hauptziel eines Penetrationstests für Webanwendungen besteht darin, Schwachstellen in Ihrer Webanwendung aufzudecken und geeignete Maßnahmen zu deren Behebung vorzuschlagen.

Methodik für das Testen von Webanwendungen

Bei Web-Penetrationstests folgen wir dem OWASP Top 10 Industriestandard, dank dem wir die Webanwendung auf alle gängigen Schwachstellen testen. Diese sind im Einzelnen:

  1. Injektion
  2. Gebrochene Authentifizierung
  3. Offenlegung sensibler Daten
  4. Externe XML-Entitäten (XXE)
  5. Defekte Zugangskontrolle
  6. Falsche Sicherheitskonfiguration
  7. Cross-Site Scripting XSS
  8. Unsichere Deserialisierung
  9. Verwendung von Komponenten mit bekannten Sicherheitslücken
  10. Unzureichende Protokollierung und Überwachung

OWASP Top 10 Referenz für weitere Informationen: OWASP Mobile Top 10


Der OWASP Top 10 Standard ist in mehreren Revisionen verfügbar - 2017, 2013 und 2010. Wir stützen uns in erster Linie auf die jüngste - 2017 - Revision. Es ist jedoch notwendig, darauf hinzuweisen, dass wir die Revision immer an die von der getesteten Webanwendung verwendete Technologie / Framework anpassen. Auf diese Weise stellen wir sicher, dass wir Webanwendungen immer gegen alle potenziellen Sicherheitslücken testen.

Unser Ansatz für Penetrationstests von Webanwendungen

1. Unseren Kunden verstehen

Wir beginnen damit, die geschäftlichen und technischen Anforderungen unseres Kunden genau zu verstehen und Informationen über die Webanwendung selbst zu sammeln, insbesondere über ihre Funktionalität und Architektur.

2. Einigung auf ein kommerzielles Angebot

Auf der Grundlage unseres Verständnisses Ihrer Bedürfnisse und Anforderungen wird ein detailliertes kommerzielles Angebot erstellt. Dieses Angebot umfasst die Methodik der Penetrationstests, die Testszenarien, die Art der Berichterstattung über die Ergebnisse und den Umfang der Penetrationstests. Das Ergebnis dieser Phase ist ein formell vereinbartes Angebot für Penetrationstests.

3. Penetrationstests

Der Penetrationstest selbst wird streng nach unserer gemeinsamen Vereinbarung durchgeführt. Während des eigentlichen Penetrationstests deckt unser Team Schwachstellen in Ihrer Anwendung auf und zeigt Ihnen, wie diese von einem Hacker missbraucht werden können.

4. Berichterstattung

Wir liefern Ihrem Team einen detaillierten Bericht über die Penetrationstests. Dieser Bericht enthält alle Schwachstellen zusammen mit Vorschlägen, wie diese zu beseitigen sind. Bei Bedarf können wir auch eine zusammenfassende Präsentation für Ihr Management vorbereiten, damit Sie die Ergebnisse effizient an die Entscheidungsträger Ihres Unternehmens weitergeben können.

5. Unterstützung bei der Behebung von Schwachstellen

Wenn Ihr Unternehmen nur über begrenzte interne Kapazitäten verfügt, können wir Sie bei der Behebung der festgestellten Schwachstellen unterstützen.

6. Schulung Ihres Entwicklerteams

Wir können auch maßgeschneiderte Richtlinien zur sicheren Kodierung und Schulungen für Ihr Entwicklungsteam vorbereiten, die die Ergebnisse der durchgeführten Penetrationstests widerspiegeln. Dies würde Ihrem Team helfen, dieselben Sicherheitsfehler nicht noch einmal zu machen.

Warum Auxilium Cyber Security?

  1. Erfahrene Penetrationstester mit OSCP, OSCE oder CISM Zertifizierung
  2. Eigene Forschung auf dem Gebiet der Cybersicherheit
  3. Wir liefern umfassende Penetrationstestberichte mit Vorschlägen zur Behebung von Schwachstellen
  4. Wir können Sie auf Englisch, Deutsch oder Tschechisch unterstützen
  5. Wir haben seit 2015 Erfahrung mit Penetrationstests von Webanwendungen
  6. Wir können sichere Kodierungsrichtlinien und Schulungen anbieten, die die Ergebnisse von Penetrationstests widerspiegeln

Kontaktieren Sie uns

Über das Formular auf unserer Webseite


Unsere Forschung im Bereich der Cybersicherheit von Anwendungen

  1. [CVE-2020-24807] Umgehung der Dateitypbeschränkung im NPM-Modul Socket.io-file
  2. [CVE-2020-15779] Pfadüberquerung im NPM-Modul Socket.io-file

Ausgewählte Referenzen für Penetrationstests von Webanwendungen

  1. ENISA - EU-Agentur für Cybersicherheit: Lückenanalyse und Penetrationstest des Webportals der Agentur gegen den Standard der Europäischen Kommission und Implementierung von Maßnahmen zur Behebung dieser Schwachstellen. Für mehr Informationen klicken Sie hier.
  2. Asseco Lösungen: Penetrationstest einer Webanwendung.

Telefon

Germany: +49 (0) 7243 - 718 77 55
Czech Republic: +420 739 467 470

LinkedIn

www.linkedin.com

Adresse

Siemensstraße 23
76275 Ettlingen
Germany
Přístavní 1363/1
17000 Prague
Czech Republic