Pentest für Webanwendungen

Web Pentesting

Web Application Penetration Testing

Bei einem Web-Pentest wird die Webanwendungen und auch dazugehörige Web Services / API's nach möglichen Schwachstellen untersucht. Von unseren Experten wird das Frontend, das Backend, die Datenbanken und mögliche Schnittstellen auf Schwachstellen untersucht.

Die Webseite kann, mit Einblick in den Quelltext / die Spezifikation untersucht werden (Black Box Testing), als auch ohne Einblick (White Box Testing). Um Schwachstellen zu ermitteln, setzen wir sowohl auf manuelle Analysen als auch auf automatisierte Scans. Durch diese Kombination können sowohl allgemeine als auch sehr spezifische Schwachstellen ermittelt werden.

Unsere IT-Sicherheit Experten verfügen über die wichtigsten und härtesten Zertifizierungen im Bereich IT-Sicherheit: Offensive Security Web Expert Zertifizierung (OSWE) sowie Offensive Security Certified Professional (OSCP)

Bei einem Pentest orientieren wir uns an folgende Methodik:

OWASP
BSI
OSSTMM

Web Pentesting

Wie sieht ein Web Pentest aus?

Bei einem Web-Pentest wird ersten Schnitt versucht die Anwendungen zu „verstehen“. Dazu werden verschiedene Informationen über die Anwendung beschafft. Es werden verschiedene Einstiegsspunkte für verschiedene Angriffe ermittelt und gezielt angegriffen. Verschiedene kleinere Schwachstellen in einer Anwendung können zu einer sogenannten „Kill Chain„ kombiniert werden, um Remote Code Execution zu ermöglichen und damit den größtmöglichen Schaden anzurichten. Bei dem Web-Pentest orientieren wir uns an OWASP Web Security Testing Guide.

Folgende Angriffe können einem Web-Pentest durchgeführt werden

Angriffe auf Authentifizierung
Angriffe auf Autorisierung
Angriffe auf schwache Kryptographie
Angriffe auf Web Services / API
Cross Site Scripting (Reflected, Stored, DOM,…) (XSS)
Cross Site Request Forgery (CSRF)
SQL / NoSQL Injection (SQLI)
Angriffe auf XML
Path Traversal / File Inclusion
Datei Uploads
Deserialisierung
Server Side Request Forgery (SSRF)
Clickjacking
Identifizierung von bekannten Schwachstellen in Komponenten

Vorgehen

Diese Schritte durchlaufen wir, während wir Ihre Webanwendung auf Herz und Nieren testen.

01

Kennenlernen

Gemeinsam gehen wir die Anforderungen und die Ziele des Projekts durch und legen fest, welche Systeme wie überprüft werden sollen.
02

Reconnaissance

Unsere Experten sammeln passiv Informationen über die Webanwendungen und Schnittstellen. Diese Informationen werden in der nächsten Phase verwendet, um Angriffe durchzuführen. Durch Interaktion mit dem System werden weitere Informationen gesammelt und mögliche Einstiegspunkte in die Systeme festzulegen.
03

Exploitation

In dieser Phase werden die bisherige Ergebnisse verwendet und die Anwendungen gezielt angegriffen, um Zugang zu den Systemen zu verschaffen. Das Ziel ist die Schwachstellen in den Anwendungen zu identifizieren, kombinieren und zu bewerten. In die Schritt werden die Analysen manuell durchgeführt, um auch Schwachstellen zu finden, die tiefes IT-Security Wissen benötigen.
04

Dokumentation

Parallel zum Penetrationtest werden die Ergebnisse protokolliert und aufbereitet. Die Dokumentation umfasst die Management Summary, eine Tabellarische Auflistung der Schwachstellen und deren Bewertung sowie Handlungsempfehlungen
05

Präsentation

Die Ergebnisse des Penetrationstest werden präsentiert und auf Ihre Fragen werden eingegangen. Wir Fragen stehen wir Ihnen weiterhin zur Verfügung und helfen Ihnen bei Bedarf die Lücken zu beseitigen.
06

Retest

Nach dem Pentest und der Behebung der Fehler, kann eine Nachprüfung stattfinden. Wir überprüfen, ob die Schwachwachstellen weiterhin existieren oder korrekt behoben wurden.