Web Application Penetrationstests
Ein Web Application Penetrationstest ist ein Penetrationstest, der sich gezielt gegen Webanwendungen und Webservice APIs richtet. Webanwendungen werden inzwischen für viele geschäftskritische Dienste genutzt und sind deshalb für Angreifer ein primäres Ziel.
OWASP Top 10 Web Application Risiken
Das Open Web Application Security Project (OWASP) ist eine international aktive Non-Profit-Organisation die sich zum Ziel gesetzt hat, die Sicherheit von Webanwendungen und webbasierten Diensten zu verbessern. OWASP richtet sich dabei insbesondere an die Entwickler von Webanwendungen und versucht diese für die Informationssicherheit zu sensibilisieren.
In nicht ganz regelmäßigen Abständen, zuletzt 2021, veröffentlicht OWASP eine Liste der zehn aus ihrer Sicht größten Risiken.
- A01:2021 – Fehler in der Zugriffskontrolle
- A02:2021 – Kryptografische Fehler
- A03:2021 – Injektion inkl. Cross Site Scripting
- A04:2021 – Unsichere Programmarchitektur
- A05:2021 – Sicherheitsrelevante Fehlkonfiguration
- A06:2021 – Angreifbare und veraltete Komponenten
- A07:2021 – Fehler in der Identifizierung und Authentifizierung
- A08:2021 – Verletzung der Programm- und Datenintegrität
- A09:2021 – Unzureichendes Logging und Monitoring
- A10:2021 – Server-Side Request Forgery (SSRF)
Ein zentraler Bestandteil jedes Penetrationstests gegen eine Webanwendung ist deshalb die Prüfung der Top 10 Risiken. Ein vollständiger Penetrationstest darf sich jedoch auch nicht auf diese 10 Punkte beschränken.
Vorgehensweise im Web Application Penetrationtest
Um Fehler und Schwachstellen systematisch zu ermitteln ist eine standardisierte Vorgehensweise empfehlenswert. Wir verwenden den ebenfalls von OWASP entwickelten Web Security Testing Guide (WSTG), der Stand 2023 in einer veröffentlichten Version 4.2 und einer Entwicklungsversion 5.0 vorliegt. Der WSTG enthält 12 Unterkapitel mit Themen, die in einem Penetrationstest geprüft werden sollten.
- Information Gathering
- Configuration and Deployment Management Testing
- Identity Management Testing
- Authentication Testing
- Authorization Testing
- Session Management Testing
- Input Validation Testing
- Testing for Error Handling
- Testing for Weak Cryptography
- Business Logic Testing
- Client-side Testing
- API Testing
Je nach gewünschter Prüftiefe und vereinbartem Testumfang können die einzelnen Prüfpunkte aus diesen Kapiteln unterschiedlich umfangreich verifiziert werden.
Web Services und Web APIs
Sicherheitsrisiken treten nicht nur in klassischen, mit dem Browser zu bedienenden Webanwendungen und Webshops auf. Vermehrt werden auch Webservice APIs genutzt, die Daten als XML oder JSON bereitstellen. Als Frontend dient dann eine in JavaScript erstellte Anwendung im Browser, eine Mobile App auf einem Smartphone oder eine andere Anwendung beispielsweise in Microservice-Architekturen.
Web APIs enthalten ihre eigenen Risiken und Gefahren und sollten deshalb genauso umfangreich und sorgfältig geprüft werden wie klassische Webanwendungen.
Was kostet ein Web Application Penetrationstest?
Die Kosten eines Web Application Penetrationstests richten sich insbesondere nach der Größe und Komplexität der Webanwendung sowie nach der gewünschten oder benötigten Prüftiefe. Ein einfaches Kundenportal benötigt natürlich weniger Zeit zum Testen als eine datenschutzkritische Anwendung in der sensible personenbezogene Daten verarbeitet werden oder ein Webshop in dem mit Kreditkarten bezahlt wird.
Am besten ist es deshalb, wenn Sie uns Ihre Anwendung kurz vorstellen und wir gemeinsam Prüfaufwand und Prüftiefe festlegen. Vereinbaren Sie einfach einen Termin mit uns.
Ihr Nutzen
In unserem Penetrationstest decken wir Schwachstellen und Sicherheitslücken in ihrer Webanwendung auf, bevor es die Angreifer tun. So sind Ihre Daten bestmöglich geschützt.
Sie erhalten in einem ausführlichen Bericht Nachweise zu jeder gefundenen Schwachstelle sowie Empfehlungen zur Behebung und zur Verbesserung der Sicherheit.
Zusätzlich erhalten Sie eine Bescheinigung über den durchgeführten Penetrationstest, der Ihnen bzw. Ihren Kunden ggf. nach einem Nachtest die Sicherheit Ihrer Anwendung bestätigt.
Noch Fragen?
Vereinbaren Sie einfach einen Termin mit uns. Wir stellen Ihnen unsere Penetrationstests und unsere Vorgehensweise gerne im Detail vor.