IT-Sicherheit

Web Pentesting

Web Application Penetration Testing

Bei einem Web-Pentest wird die Webanwendungen und auch dazugehörige Web Services / API's nach möglichen Schwachstellen untersucht. Von unseren Experten wird das Frontend, das Backend, die Datenbanken und mögliche Schnittstellen auf Schwachstellen untersucht.

Die Webseite kann, mit Einblick in den Quelltext / die Spezifikation untersucht werden (Black Box Testing), als auch ohne Einblick (White Box Testing). Um Schwachstellen zu ermitteln, setzen wir sowohl auf manuelle Analysen als auch auf automatisierte Scans. Durch diese Kombination können sowohl allgemeine als auch sehr spezifische Schwachstellen ermittelt werden.

Unsere IT-Sicherheit Experten verfügen über die wichtigsten und härtesten Zertifizierungen im Bereich IT-Sicherheit: Offensive Security Web Expert Zertifizierung (OSWE) sowie Offensive Security Certified Professional (OSCP)

Bei einem Pentest orientieren wir uns an folgende Methodik:

  • OWASP
  • BSI
  • OSSTMM

Web Pentesting

Web Pentesting

Wie sieht ein Web Pentest aus?

Bei einem Web-Pentest wird ersten Schnitt versucht die Anwendungen zu „verstehen“. Dazu werden verschiedene Informationen über die Anwendung beschafft. Es werden verschiedene Einstiegsspunkte für verschiedene Angriffe ermittelt und gezielt angegriffen. Verschiedene kleinere Schwachstellen in einer Anwendung können zu einer sogenannten „Kill Chain„ kombiniert werden, um Remote Code Execution zu ermöglichen und damit den größtmöglichen Schaden anzurichten. Bei dem Web-Pentest orientieren wir uns an OWASP Web Security Testing Guide.

Folgende Angriffe können einem Web-Pentest durchgeführt werden

  • Angriffe auf Authentifizierung
  • Angriffe auf Autorisierung
  • Angriffe auf schwache Kryptographie
  • Angriffe auf Web Services / API
  • Cross Site Scripting (Reflected, Stored, DOM,…) (XSS)
  • Cross Site Request Forgery (CSRF)
  • SQL / NoSQL Injection (SQLI)
  • Angriffe auf XML
  • Path Traversal / File Inclusion
  • Datei Uploads
  • Deserialisierung
  • Server Side Request Forgery (SSRF)
  • Clickjacking
  • Identifizierung von bekannten Schwachstellen in Komponenten

Vorgehen

Vorgehen

Diese Schritte durchlaufen wir, während wir Ihre Webanwendung auf Herz und Nieren testen.
  • 01

    Kennenlernen
    Kennenlernen

    Gemeinsam gehen wir die Anforderungen und die Ziele des Projekts durch und legen fest, welche Systeme wie überprüft werden sollen.

  • 02

    Information Gathering
    Reconnaissance

    Unsere Experten sammeln passiv Informationen über die Webanwendungen und Schnittstellen. Diese Informationen werden in der nächsten Phase verwendet, um Angriffe durchzuführen. Durch Interaktion mit dem System werden weitere Informationen gesammelt und mögliche Einstiegspunkte in die Systeme festzulegen.

  • 03

    Exploitation
    Exploitation

    In dieser Phase werden die bisherige Ergebnisse verwendet und die Anwendungen gezielt angegriffen, um Zugang zu den Systemen zu verschaffen. Das Ziel ist die Schwachstellen in den Anwendungen zu identifizieren, kombinieren und zu bewerten. In die Schritt werden die Analysen manuell durchgeführt, um auch Schwachstellen zu finden, die tiefes IT-Security Wissen benötigen.

  • 04

    Dokumentation
    Dokumentation

    Parallel zum Penetrationtest werden die Ergebnisse protokolliert und aufbereitet. Die Dokumentation umfasst die Management Summary, eine Tabellarische Auflistung der Schwachstellen und deren Bewertung sowie Handlungsempfehlungen

  • 05

    Präsentation
    Präsentation

    Die Ergebnisse des Penetrationstest werden präsentiert und auf Ihre Fragen werden eingegangen. Wir Fragen stehen wir Ihnen weiterhin zur Verfügung und helfen Ihnen bei Bedarf die Lücken zu beseitigen.

  • 06

    Retest
    Retest

    Nach dem Pentest und der Behebung der Fehler, kann eine Nachprüfung stattfinden. Wir überprüfen, ob die Schwachwachstellen weiterhin existieren oder korrekt behoben wurden.

Fragen?

Sie möchten ein kostenloses Beratungsgespräch? Zögern Sie nicht, uns zu kontaktieren. Wir sind für Sie da und freuen uns von Ihnen zu hören.

Zertifizierungen

Offensive Security Web Expert (OSWE)
iso27001
Offensive Security Certified Professional (OSCP)
Offensive Security Certified Expert (OSCE)
Red Team Operator

FAQ zu Web Penetrationtests

Web-Penetrationstests, auch als Pen-Tests oder Bedrohungsanalysen bezeichnet, sind umfassende Sicherheitsprüfungen, bei denen die Sicherheitslücken einer Website oder Webanwendung identifiziert und bewertet werden. Dies erfolgt durch gezielte Nachstellung von Angriffen, um Schwachstellen zu erkennen, bevor sie von böswilligen Akteuren ausgenutzt werden können.

Penetrationstests sind ein wesentlicher Bestandteil der Cybersecurity-Strategie eines Unternehmens und tragen dazu bei, die Integrität und Vertraulichkeit von Daten sowie die Verfügbarkeit der Website sicherzustellen.

Ein umfassender Penetrationstest umfasst eine gründliche Prüfung verschiedener Aspekte, einschließlich der Identifizierung von Sicherheitslücken, Schwachstellen in der Konfiguration, ungesicherten Zugangspunkten und möglichen Angriffsvektoren.

Diese Tests werden von zertifizierten Ethical Hackern durchgeführt, die autorisiert sind, Sicherheitslücken zu erkennen und Schwachstellen zu melden, damit sie behoben werden können, bevor böswillige Angreifer sie ausnutzen.

Die Ergebnisse von Web-Penetrationstests dienen dazu, Sicherheitsrisiken zu minimieren, Datenschutzverletzungen zu verhindern und das Vertrauen Ihrer Kunden und Geschäftspartner zu stärken.

  • Selbst oder fremdentwickelte entwickelte Web-Anwendungen bzw. Web-Apps: Die zentralen Elemente eines Web-Penetrationstests sind Web-Anwendungen und Web-Apps selbst. Diese werden auf Schwachstellen in der Anwendungsfunktionalität, Sicherheitslücken und mögliche Angriffsvektoren geprüft.
  • Progressive Web Apps (PWAs): PWAs sind moderne Web-Anwendungen, die das Beste aus Web und nativen Apps kombinieren. Ein Web-Penetrationstest umfasst auch die Prüfung von PWAs, um sicherzustellen, dass sie sicher und vor Angriffen geschützt sind.
  • APIs (Application Programming Interfaces): APIs sind entscheidend für die Interaktion zwischen verschiedenen Anwendungen und Diensten. Im Rahmen eines Web-Penetrationstests werden APIs auf Sicherheitslücken und unautorisierte Zugriffe hin überprüft. Gängige Systeme wie RESTful APIs und GraphQL sind hier relevant.
  • Content-Management-Systeme (CMS): CMS-Plattformen wie WordPress, Drupal, Typo3, Webflow oder Joomla sind ein wichtiger Bestandteil vieler Websites. Sicherheitslücken in diesen Systemen oder deren Plugins können schwerwiegende Auswirkungen haben, weshalb sie im Test auf Schwachstellen überprüft werden.
  • Website-Baukästen: Für einfachere Seiten werden auch Website-Baukästen wie Wix, Jimdo  oder 1und1 MyWebsite verwendet. Auch wenn der Aufbau der Seiten einfacher ist, sind die Daten nicht weniger sensibel. Daher sollten auch diese Seiten einem Pentest unterzogen werden.
  • E-Commerce-Systeme: Die Sicherheit von E-Commerce-Plattformen, die für Transaktionen und Zahlungsabwicklung verwendet werden, ist von größter Bedeutung. Diese Systeme werden sorgfältig geprüft, um sicherzustellen, dass sie gegen Angriffe geschützt sind.Gängig sind dabei Shopsysteme wie Shopify, Shopware, Wix, Gambio, WooCommerce und Magento.
  • Datenbanken: Datenbanken sind ein kritischer Bestandteil von Web-Anwendungen. Die Sicherheit von Datenbanken und deren Schutz vor unbefugtem Zugriff stehen im Mittelpunkt des Tests. Dabei können SQL Datenbanken wie Oracle, DB2, MySQL, PostgreSQL, MSSQL oder auch NoSQL Datenbanken wie MongoDB, Cassandra, Couchbase, Redis oder Amazon DynamoDB überprüft werden.
  • Zugriffskontrolle und Authentifizierung: Die Methoden zur Zugriffskontrolle und Benutzerauthentifizierung werden sorgfältig überprüft, um sicherzustellen, dass nur autorisierte Benutzer auf geschützte Bereiche zugreifen können. Dabei werden auch 2-Faktor-Authentifizierung (2FA) oder Mehrfaktor-Authentifizierung (MFA) berücksichtigt.
  • Schwachstellen in der Serverkonfiguration: Die Konfiguration von Webservern und Hosting-Plattformen wird auf Sicherheitslücken hin untersucht, um mögliche Angriffsvektoren zu identifizieren.
  • Sicherheit von Webdiensten: Webdienste, die für den Datenaustausch zwischen Anwendungen und Servern verwendet werden, unterliegen ebenfalls einer umfassenden Überprüfung.

 

Web-Penetrationstests sind von entscheidender Bedeutung, um die Sicherheit Ihrer Website oder Webanwendung zu gewährleisten. Hier sind einige Gründe, warum sie wichtig sind:

  • Identifizierung von Sicherheitsrisiken: Penetrationstests helfen dabei, Sicherheitslücken und Schwachstellen zu identifizieren, die von böswilligen Angreifern ausgenutzt werden könnten.

  • Schutz vor Datenverlust: Durch die frühzeitige Identifizierung von Schwachstellen können Sie Datenverluste und Datenschutzverletzungen verhindern.

  • Verhindern von Website-Ausfallzeiten: Penetrationstests können dazu beitragen, Ausfallzeiten der Website aufgrund von Sicherheitsvorfällen zu verhindern.

  • Compliance-Anforderungen erfüllen: In einigen Branchen sind Penetrationstests gesetzlich vorgeschrieben, um die Einhaltung von Datenschutz- und Sicherheitsstandards sicherzustellen.

  • Stärkung des Kundenvertrauens: Durch die Durchführung von Penetrationstests zeigen Sie Ihren Kunden und Geschäftspartnern, dass Sie die Sicherheit ernst nehmen und bereit sind, proaktiv Sicherheitsmaßnahmen zu ergreifen.

  • Vorbereitung auf Angriffe: Penetrationstests bieten eine Möglichkeit, sich auf potenzielle Angriffe vorzubereiten und Gegenmaßnahmen zu planen.

  • Kontinuierliche Verbesserung: Durch regelmäßige Penetrationstests können Sie die Sicherheit Ihrer Website kontinuierlich verbessern und auf dem neuesten Stand halten.

Penetrationstests können verschiedene Arten von Sicherheitslücken und Schwachstellen auf einer Website oder Webanwendung identifizieren. Dazu gehören unter anderem (aber nicht nur):

  • SQL-Injection: Bei einer SQL-Injection kann ein Angreifer bösartige SQL-Befehle in Formularfeldern oder URL-Parametern einschleusen, um auf Datenbanken zuzugreifen oder diese zu manipulieren.

  • Cross-Site Scripting (XSS): XSS-Angriffe treten auf, wenn Angreifer bösartigen Code in Webseiten einschleusen, der dann von anderen Benutzern ausgeführt wird, um vertrauliche Daten zu stehlen oder Session-Cookies zu kapern.

  • Cross-Site Request Forgery (CSRF): CSRF-Angriffe können dazu verwendet werden, Aktionen im Namen eines authentifizierten Benutzers auszuführen, ohne dass dieser es merkt.

  • Unzureichende Autorisierung und Authentifizierung: Schwachstellen in der Autorisierung und Authentifizierung können es Angreifern ermöglichen, auf nicht autorisierte Bereiche oder Funktionen der Website zuzugreifen.

  • Sicherheitslücken in der Konfiguration: Fehlerhafte Konfigurationen von Servern, Datenbanken oder Anwendungsframeworks können Sicherheitslücken aufdecken.

  • Unsichere Dateiuploads: Wenn eine Website Benutzern erlaubt, Dateien hochzuladen, kann dies zu Sicherheitslücken führen, wenn nicht ausreichend geprüft wird, ob die Dateien bösartigen Code enthalten.

  • Brute-Force-Angriffe: Penetrationstests können Schwachstellen in Passwörtern und Authentifizierungsmechanismen aufdecken, die es Angreifern ermöglichen könnten, Zugang zu erlangen.

Web-Penetrationstests sollten regelmäßig durchgeführt werden, insbesondere in den folgenden Situationen:

  • Vor der Markteinführung: Bevor Sie eine neue Website oder Anwendung auf den Markt bringen, ist es ratsam, Penetrationstests durchzuführen, um sicherzustellen, dass sie sicher ist.

  • Nach signifikanten Änderungen: Nach wesentlichen Updates oder Änderungen an Ihrer Website oder Webanwendung sollten Penetrationstests durchgeführt werden, um sicherzustellen, dass keine neuen Sicherheitslücken entstanden sind.

  • Nach Sicherheitsvorfällen: Nach einem Sicherheitsvorfall oder einer Datenschutzverletzung ist es wichtig, Penetrationstests durchzuführen, um weitere Schwachstellen zu identifizieren und zu beheben.

  • Regelmäßig: Idealerweise sollten Penetrationstests mindestens einmal im Jahr oder nach wichtigen Änderungen wiederholt werden. Dies stellt sicher, dass die Sicherheit auf dem neuesten Stand bleibt.

Penetrationstests sollten nicht als einmalige Aufgabe betrachtet werden, sondern als kontinuierlicher Prozess, um die Sicherheit Ihrer digitalen Präsenz aufrechtzuerhalten.

Ein Web-Pentest bei Yekta IT umfasst 6 Phasen:

  1. Kennenlernen: Gemeinsam die Ziele und Anforderungen des Pentests festlegen. Welches System soll wie getestet werden?
  2. Reconnaissance: Pentester sammelt so viele Informationen wie möglich über das Ziel. (Aufbau,Technologie-Stack, Funktionalität)
  3. Exploitation: Systeme werden gezielt angegriffen, um Schwachstellen zu identifizieren, zu kombinieren und zu bewerten.
  4. Dokumentation: Ergebnisse werden protokolliert,  bewertet, aufbereitet und mit Handlungsempfehlungen versehen.
  5. Präsentation: Ergebnisse werden dem Management & Team vorgestellt. Bei Bedarf wird unterstützt, die Lücken zu schließen.
  6. Retest: Nach der Behebung der Lücken wird überprüft, ob die Schwachstellen noch vorhanden sind.

Dieses Vorgehen orientiert sich an den gängigen Standards zur Durchführung von Pentests und hat sich in zahlreichen Fällen als sehr wertvoll erwiesen.

Bei der Auswahl eines Anbieters für Web-Penetrationstests sollten Sie auf Erfahrung, Qualifikation und Referenzen achten. Es gibt im Bereich Cybersecurity einige Zertifizierungen, die nicht nur einen theoretischen Teil, sondern auch eine Praxisprüfung enthalten, wodurch der Pentester den Nachweis erbringen muss, Schwachstellen in Web-Anwendungen identifizieren und nutzen zu können. Folgende Zertifizierungen sind im Web-Security-Bereich relevant (Auszug, keine vollständige Liste):

  • OSCP ist eine praxisorientierte Zertifizierung für Penetrationstester und wird von Offensive Security angeboten. Sie ist bekannt für ihre rigorose, 24-stündige Prüfung, die ein hohes Maß an technischem Können erfordert.
  • Die OSWE-Zertifizierung ist eine fortgeschrittene Zertifizierung, die sich auf Web-Anwendungssicherheit konzentriert. Sie wird von Offensive Security angeboten und ist darauf ausgerichtet, die Fähigkeiten von Sicherheitsexperten im Bereich der Web-Anwendungspenetrationstests zu validieren. 

Mehr über relevante Zertifizierungen finden Sie in unserem Artikel zum Thema: Welches sind die relevanten Cybersecurity-Standards, Frameworks und Zertifizierungen in Deutschland?

Wenn Sie weitere Informationen zu Web-Penetrationstests wünschen oder einen Test für Ihre Website vereinbaren möchten, stehen Ihnen unsere Experten gerne zur Verfügung. Kontaktieren Sie uns noch heute, um Ihre Sicherheitsanforderungen zu besprechen und maßgeschneiderte Lösungen zu erhalten.