Pentests für Webapplikationen und Web-APIs

Webapplikationen bzw. Webanwendungen und Web-APIs sind das Rückgrat vieler Geschäftsprozesse, weshalb ihre Sicherheit oberste Priorität haben muss. Unsere Penetrationstests für Webanwendungen und Web-APIs sind darauf ausgelegt, potenzielle Sicherheitsrisiken aufzudecken, bevor sie von böswilligen Akteuren ausgenutzt werden können.

Durch die Kombination aus automatisierten Scans und gründlicher manueller Überprüfung bieten unsere Penetrationstests für Webanwendungen und Web-APIs einen umfassenden Schutz vor vielfältigen Bedrohungen. Unser Ziel ist es, nicht nur aktuelle Sicherheitslücken zu identifizieren, sondern Ihnen auch Verbesserungspotenziale aufzuzeigen, mit denen Sie die Sicherheit Ihrer browserbasierten Anwendungen langfristig verbessern können.

Warum sind Pentest von Web-Apps und -APIs wichtig?

Jede Webapplikation – vom einfachen Kalender bis zur komplexen Gesundheits-App – verarbeitet Daten, deren Verlust oder Missbrauch schwerwiegende Datenschutzverletzungen, finanzielle Schäden und Reputationsverluste verursachen kann. Im schlimmsten Fall kann eine Sicherheitslücke in der Anwendung genutzt werden, um Zugriff auf den zugrunde liegenden Webserver zu erlangen und die gesamte IT-Infrastruktur zu kompromittieren. Daher ist es unerlässlich, Webanwendungen kontinuierlich auf Sicherheitslücken zu überprüfen und sie wirksam zu schützen.

So gehen wir bei einem Pentest vor

Unsere Pentests gliedern sich in der Regel in fünf Phasen, die wir jedoch gerne an Ihre individuellen Bedürfnisse anpassen können. Auf Wunsch erstellen wir eine Abschlusspräsentation und führen optional Nachtests durch. In jedem Fall erhalten Sie einen detaillierten und allgemein verständlichen Bericht mit einer Management-Summary sowie Empfehlungen zur Behebung der identifizierten Schwachstellen.

Kick-off

Durchführung

Dokumentation

Abschluss-
präsentation

Nachtests

Mehr über die einzelnen Schritte erfahren Sie hier. Haben Sie bereits Fragen zum Thema Pentest, die Sie mit uns besprechen möchten? Unser Pentest-Team ist für Sie da, nehmen Sie Kontakt mit uns auf.

Infografik zum Ablauf eines Webapplikations-Tests und API-Tests.

Durchführung bei Webapplikations- und API-Tests

Zu Beginn des Pentests führen wir eine Überprüfung des zugrundeliegenden Web- bzw. API-Servers durch, analog zu unseren etablierten externen Netzwerk-Pentests und internen Netzwerk-Pentests. Diese initiale Prüfung gewährleistet, dass die Infrastruktur, auf der Ihre Webanwendung oder API läuft, frei von allgemein bekannten Schwachstellen ist. Dieser Schritt kann angepasst oder übersprungen werden, etwa bei geteilten Systemen oder wenn der Server bereits in einem früheren Netzwerktest evaluiert wurde.

Im Anschluss erfolgt eine automatisierte Überprüfung der Anwendung durch einen Webapplikationsscanner. Diese Scanner sind darauf spezialisiert, eine breite Palette von Sicherheitslücken schnell zu erkennen, darunter SQL-Injections, Cross-Site Scriptings (XSS), Sicherheitskonfigurationsfehler, sensible Datenexposition und vieles mehr. Für unsere Penetrationstests setzen wir renommierte Tools ein, wie z. B. die Burp Suite Professional.

Nach der automatisierten Überprüfung folgt eine umfassende, manuelle Sicherheitsanalyse Ihrer Webapplikation oder API. Unser erfahrenes Team untersucht die verschiedenen Funktionen gezielt auf eine Vielzahl bekannter Angriffsvektoren. Grundlage dieser Prüfungen sind u. a. die OWASP Top 10 für Web-Apps sowie die OWASP API Top 10 für Web-APIs – die aktuell größten Sicherheitsrisiken und häufigsten Schwachstellen. Zusätzlich berücksichtigen wir die Empfehlungen des OWASP Web Security Testing Guide v4.2 sowie des BSI-Leitfadens zur Durchführung von IS-Webchecks, um eine gründliche und von offiziellen Stellen anerkannte Überprüfung zu gewährleisten.

Darüber hinaus passen wir alle Tests basierend auf unserer langjährigen Erfahrung sorgfältig an das jeweilige Prüfobjekt an und erweitern sie um erforderliche Prüfungen. So stellen wir eine umfassende und präzise Bewertung der Sicherheitslage sicher und identifizieren selbst die komplexesten Schwachstellen.

Unsere Penetrationstests für Webanwendungen und APIs führen wir – ähnlich wie unsere Netzwerktests – sowohl über das Internet als auch in Ihrem Intranet durch. Dies kann remote per VPN, über ein Remote-Testsystem oder direkt vor Ort erfolgen. So lassen sich nicht nur Online-Anwendungen, sondern auch auf das Intranet beschränkte Applikationen umfassend prüfen.

Prüfpunkte

Konkret umfassen die Web- und API-Pentests die folgenden Prüfpunkte:

Session-Management

Analyse und Manipulation des Session-Managements, inkl. Prüfung von seitenübergreifenden Aufruf-Manipulationen (Cross-Site-Request-Forgery-Angriffe)

Zugriffskontrolle

Ausweitung der Zugriffsrechte (vertikal und horizontal) zwischen ggf. unterschiedlichen Benutzern, Gruppen und Rollen

Web- bzw. API-Servers

Überprüfung der zugrunde liegenden Server auf veraltete Software, bekannte Sicherheitslücken und Konfigurationsfehler

Token-Management

Analyse und Manipulation von API- respektive Authentifizierungs-Tokens sowie die sichere Speicherung der Tokens

Datenvalidierung

Überprüfung der Datenvalidierung, insbesondere im Hinblick auf Cross-Site-Scripting (XSS)-Angriffe und die Anfälligkeit für Injections (u. a. SQL-, OS-, Header- und XML-Injections)

Sensible Informationen

Auswertung von Fehlermeldungen und gezielte Suche nach sensiblen Informationen

Verschlüsselung

Überprüfung der Verschlüsselung und der Angemessenheit der eingesetzten Verschlüsselungsverfahren

Anwendungshärtung

Generelle Analyse der Anwendung hinsichtlich möglicher Verbesserungspotenziale und Sicherheitskonfigurationen

Ihre Ansprechpartner

Sie möchten einen Pentest für Ihre Webapplikation oder Web-APIs durchführen lassen und suchen einen qualifizierten Dienstleister? Wir stehen Ihnen mit unserer Erfahrung und Fachexpertise zur Verfügung. Kontaktieren Sie uns gerne telefonisch oder per E-Mail – wir freuen uns auf Ihre Anfrage!

Michael Cyl, M.Sc.

Leiter Informationssicherheit | Penetrationstests

E-Mail: mcyl@re-move-this.datenschutz-nord.de

Telefon: +49 421 69 66 32-319

datenschutz nord GmbH, Bremen

Falls sich Ihre Anfrage auf eine Organisation außerhalb Deutschlands bezieht, helfen Ihnen diese Kontakte weiter.

Peter Suhren, Volljurist

Geschäftsführer

E-Mail: psuhren@re-move-this.first-privacy.com

Telefon: +49 421 69 66 32-822

FIRST PRIVACY GmbH, Bremen

Cihan Parlar, LL.M. (Tilburg)

Geschäftsführer

E-Mail: cparlar@re-move-this.first-privacy.com

Telefon: +31 20 211 7116

FIRST PRIVACY B.V., Amsterdam

Unsere Qualifikation als Pentester:

Vorgehen nach anerkannten Standards (BSI IS-Pentest, BSI IS-Webcheck, OWASP uvm.)
Qualifizierte Penetrationstester mit langjähriger Erfahrung
Individualisierung aller Tests anhand der entsprechenden Prüfsituation
Umfassende Projekterfahrung im Smart Meter Gateway-Bereich nach BSI TR-03109-1
Unkomplizierte Prozesse und Transparenz zu jeder Zeit
Fokus auf Verbesserung der IT-Sicherheit des Auftraggebers

Des Weiteren sind wir ausgezeichnet als

Offensive Security Certified Professional (OSCP)
Certified Ethical Hacker (CEH)
Offensive Security Wireless Professional (OSWP)

FAQ zum Thema Pentest

Unsere Pentests: Schritt für Schritt erklärt

Wir bieten Pentests für verschiedene Untersuchungsgegenstände an: Externe Netzwerke, interne Netzwerke, Webapplikationen/-APIs und Smartphone-Apps. Jedes Untersuchungsobjekt erfordert eine spezifische Maßnahmen während des Pentests, die Vorgehensweise folgt jedoch diesen fünf Schritten:

Vorgespräch/Kick-off: Vor Beginn der Tests wird das Vorgehen kurz gemeinsam abgestimmt. Je nach Komplexität des Untersuchungsgegenstandes kann es sich dabei um eine einfache Abstimmung per Mail bis hin zu einem mehrstündigen Kick-off-Meeting handeln, bei dem alle offenen Fragen geklärt werden.
Durchführung: Basierend auf den besprochenen Rahmenbedingungen und Prüfszenarien werden die Tests durch unsere Experten durchgeführt. Wir stehen Ihnen während der gesamten Durchführungsphase für Rückfragen zur Seite.
Dokumentation: Nach Abschluss der Tests erfolgt die Aufbereitung und Strukturierung der Prüfergebnisse, um einen für alle involvierten Personen hilfreichen und verständlichen Abschlussbericht zu erstellen. Dies beinhaltetet sowohl die Zusammenfassung der Ergebnisse in einer übergreifenden Management Summary als auch die detaillierte Darstellung der einzelnen Feststellungen mit dazugehörigen Empfehlungen zur Beseitigung der Schwachstellen.
Abschlusspräsentation (optional): Auf Wunsch können die Ergebnisse der Prüfungen zusätzlich in einer (Online-)Präsentation vorgestellt, erläutert und diskutiert werden.
Überprüfung der Gegenmaßnahmen / Nachtests (optional): Sofern Sie im Anschluss des Pentests die von uns empfohlenen Maßnahmen zur Beseitigung der identifizierten Sicherheitslücken getroffen haben, kann deren Effektivität durch einen erneuten Test validiert werden – je nach Umfang der Maßnahmen in einer kurzen Nachkontrolle oder einem umfassenden Nachtest.

Black-Box-, Grey-Box- oder White-Box-Pentest: Wo liegen die Unterschiede?

Pentests unterscheiden sich nicht nur durch den Untersuchungsgegenstand (z. B. Netzwerk, App, API etc.), sondern auch durch das Ausgangsszenario. Wir erläutern den Unterschied zwischen Black-Box-, Grey-Box- und White-Box-Pentests.

Ein Black-Box-Pentest startet mit möglichst wenig Informationen und kommt daher einem realen Angriffsszenario am nächsten. Für diese Art von Pentest reicht oft eine IP-Adresse, eine URL oder auch nur ein Domain-Name.

Demgegenüber steht der White-Box-Pentest, welcher umfangreiche Informationen über den Prüfgegenstand offenlegt. Dabei kann es sich um Netzwerkdiagramme, Sicherheitskonzepte, Konfigurationen und auch Code-Ausschnitte handeln. Der White-Box-Test ermöglicht eine konkretere Planung der Prüfungen und Fokussierung auf sensible Systeme und Funktionen. Es besteht aber auch die Gefahr, dass die Objektivität des Testers eingeschränkt wird.

Um die Vorteile von Black-Box und White-Box zu vereinen, kann im Rahmen eines Grey-Box-Pentests zunächst mit einer Black-Box gestartet werden, um danach ggf. benötigte Informationen für einen effektiven Testverlauf auszutauschen. Auch wenn im Vorfeld Anmeldedaten für einen Dienst o. Ä. zur Verfügung gestellt werden, spricht man von einem Grey-Box-Szenario.

Illustration der drei möglichen Pentests; der Black-Box-Test, der Grey-Box-Test und der White-Box-Test.

Werden die Pentests ausschließlich remote durchgeführt?

Alle aus dem Internet erreichbaren Prüfgegenstände, z. B. extern erreichbare Systeme und Web-Anwendungen, werden von unserem Unternehmensstandort aus getestet. Für interne Tests wird meist eine VPN-Verbindung genutzt, da so Nebenkosten eingespart werden und eine längere Testdauer möglich ist. Sollte Ihrerseits kein VPN o. Ä. zur Verfügung stehen, besteht die Möglichkeit eines unserer Testgeräte zu installieren. Auch die Installation der benötigten Software Ihrerseits auf einem eigenen Gerät ist denkbar. Sofern diese Szenarien keine Option darstellen, findet der Pentest durch einen Tester vor Ort statt.

Finden die Pentests in der Produktivumgebung statt?

Die zu testende Instanz des Untersuchungsgegenstandes wird von Ihnen festgelegt. Sofern eine Test- oder Staging-Instanz existiert, empfiehlt es sich, den Pentest in einer dieser Umgebungen durchzuführen. Dabei sollte allerdings darauf geachtet werden, dass sich insbesondere die Sicherheitseinstellungen möglichst nah an der Produktivumgebung orientieren, da die Testergebnisse davon beeinflusst werden könnten.

Unabhängig von der gewählten Umgebung hat die Vermeidung von ungewollten Betriebsstörungen und des Ausfalls von Systemen bei jedem Pentest höchste Priorität. Denial-of-Service-Angriffe (kurz DoS-Angriffe) werden daher grundsätzlich nicht durchgeführt.

Welchen Aufwand haben Sie als Kunde mit einem Pentest?

Der Aufwand für Sie als Auftraggeber ist relativ gering. Im Vorfeld muss lediglich das entsprechende Vorgehen kurz abgestimmt werden, ggf. ist noch eine Einführung in den Prüfgegenstand notwendig. Während des Tests sollte eine versierte Person für Rückfragen als Ansprechpartner innerhalb eines Arbeitstages erreichbar sein.

Auch interessant:

Externer Netzwerk-Pentest Interner Netzwerk-Pentest Pentests für Smartphone-Apps Pentests für Large Language Models (LLMs)

Kennen Sie schon unseren Blog?

Mit unserem Blog „datenschutz notizen“ informieren wir Kunden und Interessierte über aktuelle Themen in den Bereichen Datenschutz, Informationssicherheit und Compliance. Hier finden Sie unsere neuesten Beiträge über Informationssicherheit, Cybersicherheit und Pentests: