Pentests für Webapplikationen und Web-APIs

Webapplikationen bzw. Webanwendungen und Web-APIs sind das Rückgrat vieler Geschäftsprozesse, weshalb ihre Sicherheit oberste Priorität haben muss. Unsere Penetrationstests für Webanwendungen und Web-APIs sind darauf ausgelegt, potenzielle Sicherheitsrisiken aufzudecken und zu beheben, bevor sie von böswilligen Akteuren ausgenutzt werden können.

Durch die Kombination aus automatisierten Scans und detaillierter manueller Überprüfung bieten unsere Penetrationstests für Webanwendungen und Web-APIs einen umfassenden Schutz vor den vielfältigen Bedrohungen. Unser Ziel ist es, nicht nur aktuelle Sicherheitslücken zu identifizieren, sondern Ihnen auch strategische Einblicke und Empfehlungen zu liefern, mit denen Sie die Sicherheit Ihrer browserbasierten Anwendungen langfristig verbessern können.

Warum sind Pentest von Web-Apps und -APIs wichtig?

Jede Webapplikation, angefangen vom Kalender bis hin zur Gesundheitsapp, verarbeitet Daten, deren Verlust oder Missbrauch zu erheblichen Datenschutzverletzungen, finanziellen Verlusten und Reputationsschäden führen kann. Im schlimmsten Fall wird eine Schwachstelle innerhalb der Anwendung auch genutzt, um auf den zugrunde liegenden Webserver zuzugreifen und von dort die gesamte Infrastruktur zu kompromittieren. Es ist daher unerlässlich, diese Anwendungen kontinuierlich auf Sicherheitslücken zu überprüfen und zu schützen.

So gehen wir bei einem Pentest vor

Unsere Pentests gliedern sich in der Regel in die folgenden fünf Phasen, die wir jedoch auch an Ihren individuellen Bedarf anpassen können. Eine Abschlusspräsentation erstellen wir auf Wunsch gerne für Sie, ebenso nehmen wir optional Nachtests vor. In jedem Fall erhalten Sie einen detaillierten und allgemein verständlichen Bericht mit einer Management-Summary sowie Empfehlungen zur Beseitigung der gefundenen Schwachstellen. 

Eine Eins mit einem Icon für Gespräch (Schritt 1 bei einem Pentest).

Kick-off

Eine Zwei mit einem Icon aus Laptop und Lupe für Analyse (Schritt 2 bei einem Pentest).

Durchführung

Eine Drei mit einem Icon für Liste/Auswertung bzw. Bericht (Schritt 3 bei einem Pentest).

Dokumentation

Eine Vier mit einem Icon für Präsentation (Schritt 4 bei einem Pentest).

Abschluss-
präsentation

Eine Fünf mit einem Icon für Analyse und Auswertung (Schritt 5 bei einem Pentest).

Nachtests

Mehr über die einzelnen Schritte lesen Sie hier. Haben Sie bereits Fragen zum Thema Pentest, die Sie mit uns besprechen möchten? Unser Pentest-Team ist für Sie da, nehmen Sie Kontakt mit uns auf.

Durchführung bei Webapplikations- und API-Tests

Zu Beginn des Pentests führen wir eine Überprüfung des zugrundeliegenden Web- bzw. API-Servers durch, analog zu unseren etablierten externen Netzwerk-Pentests und internen Netzwerk-Pentests. Diese initiale Prüfung gewährleistet, dass die Infrastruktur, auf der Ihre Webanwendung oder API läuft, frei von bekannten Schwachstellen ist. Dieser Schritt kann angepasst oder übersprungen werden, etwa bei geteilten Systemen oder wenn der Server bereits in einem früheren Netzwerktest evaluiert wurde.

Im Anschluss erfolgt eine automatisierte Überprüfung der Anwendung durch einen Webapplikationsscanner. Diese Scanner sind darauf spezialisiert, eine breite Palette von Sicherheitslücken schnell zu erkennen, darunter SQL-Injections, Cross-Site Scriptings (XSS), Sicherheitskonfigurationsfehler, sensible Datenexposition und vieles mehr. Für unsere Penetrationstests setzen wir renommierte Tools ein, wie z. B. die Burp Suite Professional.

Nach der automatisierten Überprüfung folgt eine umfassende, manuelle Prüfung der Sicherheit Ihrer Webapplikation oder API. Unser erfahrenes Team untersucht die verschiedenen Funktionen der Anwendung auf eine Vielzahl von bekannten Angriffsvektoren. Die Grundlage dieser Prüfungen bilden dabei u. a. die OWASP Top 10 für Web-Apps bzw. OWASP API Top 10 für Web-APIs – den aktuell größten Sicherheitsrisiken und häufigsten Sicherheitslücken. Zudem fließen die Empfehlungen des OWASP Web Security Testing Guide v4.2 und des BSI-Leitfadens zur Durchführung von IS-Webchecks in unsere Tests ein, um eine gründliche und von offiziellen Stellen anerkannte Überprüfung zu gewährleisten.

Prüfpunkte

Konkret umfassen die Web- und API-Pentests die folgenden Prüfpunkte:

Session-Management

Analyse und Manipulation des Session-Managements, inkl. Prüfung von seitenübergreifenden Aufruf-Manipulationen (Cross-Site-Request-Forgery-Angriffe)

Zugriffskontrolle

Ausweitung der Zugriffsrechte (vertikal und horizontal) zwischen ggf. unterschiedlichen Benutzern, Gruppen und Rollen

Web- bzw. API-Servers

Überprüfung des zugrundeliegenden Servers im Hinblick auf veraltete Software, bekannte Sicherheitslücken und Konfigurationsfehler

Token-Management

Analyse und Manipulation von API- respektive Authentifizierungs-Tokens sowie die sichere Speicherung der Tokens

Datenvalidierung

Überprüfung der Datenvalidierung, insbesondere im Hinblick auf Cross-Site-Scripting (XSS)-Angriffe und die Anfälligkeit für Injections (u. a. SQL-, OS-, Header- und XML-Injections)

Sensible Informationen

Auswertung von Fehlermeldungen sowie die gezielte Suche nach sensiblen Informationen

Verschlüsselung

Überprüfung der Verschlüsselung und die Angemessenheit der eingesetzten Verschlüsselungsverfahren

Anwendungshärtung

Generelle Analyse der Anwendung im Hinblick auf potenzielle Verbesserungspotentiale und Härtungseinstellungen

Darüber hinaus werden alle Tests, gestützt auf unsere langjährige Erfahrung, sorgfältig an den individuellen Prüfgegenstand angepasst und um die notwendigen Prüfungen erweitert, um eine umfassende und präzise Bewertung der Sicherheitslage zu gewährleisten und selbst die komplexesten Schwachstellen zu identifizieren.

Unsere Penetrationstests für Webanwendungen und APIs können wir – analog zu unseren Netzwerktests – sowohl über das Internet als auch Ihrem Intranet (z. B. remote per VPN, über ein Remote-Testsystem oder direkt vor Ort) durchführen. Somit können neben Online-Anwendungen auch auf das Intranet beschränkte Applikationen überprüft werden.

Ihr Ansprechpartner

Sie möchten einen Pentest für Ihre Webapplikation oder Web-APIs durchführen lassen und suchen einen qualifizierten Dienstleister? Wir stehen Ihnen mit unserer Erfahrung und Fachexpertise zur Verfügung. Kontaktieren Sie uns gerne telefonisch oder per E-Mail – wir freuen uns auf Ihre Anfrage!

Michael Cyl

Michael Cyl, M.Sc.

Leiter Informationssicherheit | Penetrationstests

E-Mail: mcyl@re-move-this.datenschutz-nord.de

Telefon: +49 421 69 66 32-319

Unsere Qualifikation als Pentester:

  • Vorgehen nach anerkannten Standards (BSI IS-Pentest, BSI IS-Webcheck, OWASP uvm.)
  • Qualifizierte Penetrationstester mit langjähriger Erfahrung
  • Individualisierung aller Tests anhand der entsprechenden Prüfsituation
  • Umfassende Projekterfahrung im Smart Meter Gateway-Bereich nach BSI TR-03109-1
  • Unkomplizierte Prozesse und Transparenz zu jeder Zeit
  • Fokus auf Verbesserung der IT-Sicherheit des Auftraggebers

Des Weiteren sind wir ausgezeichnet als

  • Offensive Security Certified Professional (OSCP)
  • Certified Ethical Hacker (CEH)
  • Offensive Security Wireless Professional (OSWP)

FAQ zum Thema Pentest

Auch interessant:

Kennen Sie schon unseren Blog?

Mit unserem Blog „datenschutz notizen“ informieren wir Kunden und Interessierte über aktuelle Themen in den Bereichen Datenschutz, Informationssicherheit und Compliance. Hier finden Sie unsere neuesten Beiträge über Informationssicherheit, Cybersicherheit und Pentests: