Pentests für Webapplikationen und Web-APIs
Webapplikationen bzw. Webanwendungen und Web-APIs sind das Rückgrat vieler Geschäftsprozesse, weshalb ihre Sicherheit oberste Priorität haben muss. Unsere Penetrationstests für Webanwendungen und Web-APIs sind darauf ausgelegt, potenzielle Sicherheitsrisiken aufzudecken und zu beheben, bevor sie von böswilligen Akteuren ausgenutzt werden können.
Durch die Kombination aus automatisierten Scans und detaillierter manueller Überprüfung bieten unsere Penetrationstests für Webanwendungen und Web-APIs einen umfassenden Schutz vor den vielfältigen Bedrohungen. Unser Ziel ist es, nicht nur aktuelle Sicherheitslücken zu identifizieren, sondern Ihnen auch strategische Einblicke und Empfehlungen zu liefern, mit denen Sie die Sicherheit Ihrer browserbasierten Anwendungen langfristig verbessern können.
Warum sind Pentest von Web-Apps und -APIs wichtig?
Jede Webapplikation, angefangen vom Kalender bis hin zur Gesundheitsapp, verarbeitet Daten, deren Verlust oder Missbrauch zu erheblichen Datenschutzverletzungen, finanziellen Verlusten und Reputationsschäden führen kann. Im schlimmsten Fall wird eine Schwachstelle innerhalb der Anwendung auch genutzt, um auf den zugrunde liegenden Webserver zuzugreifen und von dort die gesamte Infrastruktur zu kompromittieren. Es ist daher unerlässlich, diese Anwendungen kontinuierlich auf Sicherheitslücken zu überprüfen und zu schützen.
So gehen wir bei einem Pentest vor
Unsere Pentests gliedern sich in der Regel in die folgenden fünf Phasen, die wir jedoch auch an Ihren individuellen Bedarf anpassen können. Eine Abschlusspräsentation erstellen wir auf Wunsch gerne für Sie, ebenso nehmen wir optional Nachtests vor. In jedem Fall erhalten Sie einen detaillierten und allgemein verständlichen Bericht mit einer Management-Summary sowie Empfehlungen zur Beseitigung der gefundenen Schwachstellen.
Kick-off
Durchführung
Dokumentation
Abschluss-
präsentation
Nachtests
Mehr über die einzelnen Schritte lesen Sie hier. Haben Sie bereits Fragen zum Thema Pentest, die Sie mit uns besprechen möchten? Unser Pentest-Team ist für Sie da, nehmen Sie Kontakt mit uns auf.
Durchführung bei Webapplikations- und API-Tests
Zu Beginn des Pentests führen wir eine Überprüfung des zugrundeliegenden Web- bzw. API-Servers durch, analog zu unseren etablierten externen Netzwerk-Pentests und internen Netzwerk-Pentests. Diese initiale Prüfung gewährleistet, dass die Infrastruktur, auf der Ihre Webanwendung oder API läuft, frei von bekannten Schwachstellen ist. Dieser Schritt kann angepasst oder übersprungen werden, etwa bei geteilten Systemen oder wenn der Server bereits in einem früheren Netzwerktest evaluiert wurde.
Im Anschluss erfolgt eine automatisierte Überprüfung der Anwendung durch einen Webapplikationsscanner. Diese Scanner sind darauf spezialisiert, eine breite Palette von Sicherheitslücken schnell zu erkennen, darunter SQL-Injections, Cross-Site Scriptings (XSS), Sicherheitskonfigurationsfehler, sensible Datenexposition und vieles mehr. Für unsere Penetrationstests setzen wir renommierte Tools ein, wie z. B. die Burp Suite Professional.
Nach der automatisierten Überprüfung folgt eine umfassende, manuelle Prüfung der Sicherheit Ihrer Webapplikation oder API. Unser erfahrenes Team untersucht die verschiedenen Funktionen der Anwendung auf eine Vielzahl von bekannten Angriffsvektoren. Die Grundlage dieser Prüfungen bilden dabei u. a. die OWASP Top 10 für Web-Apps bzw. OWASP API Top 10 für Web-APIs – den aktuell größten Sicherheitsrisiken und häufigsten Sicherheitslücken. Zudem fließen die Empfehlungen des OWASP Web Security Testing Guide v4.2 und des BSI-Leitfadens zur Durchführung von IS-Webchecks in unsere Tests ein, um eine gründliche und von offiziellen Stellen anerkannte Überprüfung zu gewährleisten.
Prüfpunkte
Konkret umfassen die Web- und API-Pentests die folgenden Prüfpunkte:
Session-Management
Analyse und Manipulation des Session-Managements, inkl. Prüfung von seitenübergreifenden Aufruf-Manipulationen (Cross-Site-Request-Forgery-Angriffe)
Zugriffskontrolle
Ausweitung der Zugriffsrechte (vertikal und horizontal) zwischen ggf. unterschiedlichen Benutzern, Gruppen und Rollen
Web- bzw. API-Servers
Überprüfung des zugrundeliegenden Servers im Hinblick auf veraltete Software, bekannte Sicherheitslücken und Konfigurationsfehler
Token-Management
Analyse und Manipulation von API- respektive Authentifizierungs-Tokens sowie die sichere Speicherung der Tokens
Datenvalidierung
Überprüfung der Datenvalidierung, insbesondere im Hinblick auf Cross-Site-Scripting (XSS)-Angriffe und die Anfälligkeit für Injections (u. a. SQL-, OS-, Header- und XML-Injections)
Sensible Informationen
Auswertung von Fehlermeldungen sowie die gezielte Suche nach sensiblen Informationen
Verschlüsselung
Überprüfung der Verschlüsselung und die Angemessenheit der eingesetzten Verschlüsselungsverfahren
Anwendungshärtung
Generelle Analyse der Anwendung im Hinblick auf potenzielle Verbesserungspotentiale und Härtungseinstellungen
Darüber hinaus werden alle Tests, gestützt auf unsere langjährige Erfahrung, sorgfältig an den individuellen Prüfgegenstand angepasst und um die notwendigen Prüfungen erweitert, um eine umfassende und präzise Bewertung der Sicherheitslage zu gewährleisten und selbst die komplexesten Schwachstellen zu identifizieren.
Unsere Penetrationstests für Webanwendungen und APIs können wir – analog zu unseren Netzwerktests – sowohl über das Internet als auch Ihrem Intranet (z. B. remote per VPN, über ein Remote-Testsystem oder direkt vor Ort) durchführen. Somit können neben Online-Anwendungen auch auf das Intranet beschränkte Applikationen überprüft werden.
Ihr Ansprechpartner
Sie möchten einen Pentest für Ihre Webapplikation oder Web-APIs durchführen lassen und suchen einen qualifizierten Dienstleister? Wir stehen Ihnen mit unserer Erfahrung und Fachexpertise zur Verfügung. Kontaktieren Sie uns gerne telefonisch oder per E-Mail – wir freuen uns auf Ihre Anfrage!
Michael Cyl, M.Sc.
Leiter Informationssicherheit | Penetrationstests
E-Mail: mcyl@re-move-this.datenschutz-nord.de
Telefon: +49 421 69 66 32-319
Unsere Qualifikation als Pentester:
- Vorgehen nach anerkannten Standards (BSI IS-Pentest, BSI IS-Webcheck, OWASP uvm.)
- Qualifizierte Penetrationstester mit langjähriger Erfahrung
- Individualisierung aller Tests anhand der entsprechenden Prüfsituation
- Umfassende Projekterfahrung im Smart Meter Gateway-Bereich nach BSI TR-03109-1
- Unkomplizierte Prozesse und Transparenz zu jeder Zeit
- Fokus auf Verbesserung der IT-Sicherheit des Auftraggebers
Des Weiteren sind wir ausgezeichnet als
- Offensive Security Certified Professional (OSCP)
- Certified Ethical Hacker (CEH)
- Offensive Security Wireless Professional (OSWP)
FAQ zum Thema Pentest
Auch interessant:
Kennen Sie schon unseren Blog?
Mit unserem Blog „datenschutz notizen“ informieren wir Kunden und Interessierte über aktuelle Themen in den Bereichen Datenschutz, Informationssicherheit und Compliance. Hier finden Sie unsere neuesten Beiträge über Informationssicherheit, Cybersicherheit und Pentests: