Penetration Test Webapplikation
Eines der Haupteinfalltore für erfolgreiche Angriffe sind sicherheitstechnisch bedenkliche Applikationen, die von Unternehmen auf Ihrem Webserver angeboten werden. Diese sind heutzutage mit diversen mobilen Geräten wie iPad / iPhone oder Android SmartPhones von fast jedem Ort abruf- und somit auch angreifbar.
Neben einem Imageschaden durch sogenannte "Defacements" können weitaus problematischere Folgen entstehen. Häufig ist das Eindringen in den Firmenwebserver über eine Webapplikation nur der erste Schritt zu einem erfolgreichen Datendiebstahl. Um das geistige Eigentum der eigenen Firma sowie das Image zu schützen, ist es daher unentbehrlich, die hauseigenen Web- bzw. Mobile-Applikationen einem professionellem Penetrationtest zu unterziehen.
Wir prüfen auf dem hohem Niveau nach OWASP Top 10, um Ihrem Unternehmen den bestmöglichen Schutz zu bieten. Im Rahmen Ihres Qualitätsmanagements schlüsseln wir die Ergebnisse in ausführlichen Berichten auf und sprechen Handlungsempfehlungen aus.
Was ist der Unterschied zu Netzwerk-Penetrationtests?
Der Unterschied zu herkömmlichen Penetrationtests liegt in der Natur der Anwendung sowie dessen Erreichbarkeit. Ein Intranet (firmeninternes Netzwerk) ist nicht unbedingt direkt über das Internet angreifbar. Eine Webapplikation hingegen erhebt den Anspruch, möglichst 24 Stunden am Tag verfügbar zu sein, und kann mit jedem internetfähigem Gerät penetriert werden.
In vielen Fällen wird gar das operative Geschäft, z.B. ein Online Shop oder eine Community Seite, über mobile Anwendungen betrieben und stellt somit angebotene Kernleistungen eines Unternehmens dar. Diese gilt es natürlich bestmöglich gegen unerwünschte Angreifer, Spionage und Sabotage zu schützen.
Auf welche Schwachstellen testen wir Ihre Webapplikation?
Ausgehend von den OWASP Top 10 testen wir auf:
- Injection (SQL, LDAP, XPATH u.a.)
- Cross Site Scripting (XSS)
- Schlechte Authentifizierung und Session Management
- direkten Zugriff auf unzureichend gesicherte Objekte
- Cross Site Request Forgery (CSRF)
- unzureichende Konfiguration
- Insecure Cryptographic Storage
- ungesicherten direkten URL Zugriff
- unzureichende Sicherung der Transportschicht
- unsichere Redirects und Forwards
Welche typischen Schwachstellen und Sicherheitslücken können auftreten?
Ausgehend von der obigen Auflistung und praktischen Erfahrungen im Bereich Sicherheitsmanagement fallen oftmals gleichartige Fehlerquellen auf, die durch saubere Programmierung und durchdachtes Software Engineering verhindert werden können. In diesem Zusammenhang bietet die curesec GmbH Schulungen und Seminare für Sicherheitsverantwortliche, Entwickler und auch Administratoren an.
Ähnlich der Betrachtung von Netzwerkstrukturen, lassen sich Fehler auf technisch unzureichend umgesetzte Anwendungen sowie mangelnde Sensibilisierung von Benutzergruppen bezüglich Sicherheitsrestriktionen beobachten.
Zu häufigen Fehlerquellen zählen unter anderem klassisches Cross Site Scripting, welches Angreifern erlaubt, Schadcode über z.B. die URL einer Anwendung zu implementieren. Ausgehend von mangelnder Session-Verwaltung und Cookie-Programmierung können versierte Angreifer durch eigens authentifizierte Zugänge gar ganze Beiträge, Produkte, Benutzer oder Systemkomponenten manipulieren, im Speziellen sogar löschen (Cross Site Request Forgery). Diese durch mangelnde Session Fixation bedingte Sicherheitslücke kann zu nicht unerheblichem wirtschaftlichen Schaden führen. Weitere technische Schwachstellen, die durch Penetration Tests von Webapplikationen aufgedeckt werden, sind schwache Passwortrestriktionen (z.B. zu kurze Passwörter) oder Information Disclosures, durch die potentielle Angreifer an Informationen über den Server, dessen Version und das laufende Betriebssystem erfahren.
Natürlich gilt es bei einem Webapplikations-Penetrationtest, auch das Benutzerverhalten zu untersuchen und vermeidbare Handlungen zu identifizieren. So können Benutzer oder Administratoren, begründet durch schwache Passwort Policy und Restriktionen der Anwendung, selbst für den autorisierten Zugriff durch Eindringlinge benutzt werden. Die Rede ist von unzureichend gewählten Passwörtern (einfache Eingabemuster oder Benutzung von Klarnamen) oder das Missachten von Logout-Hinweisen.
Ein ausführlicher Penetrationtest beinhaltet daher die Erstellung eines umfassenden Berichts, der anhand stichprobenartiger Sicherheitsuntersuchung deutliche Schwachstellen benennt, erklärt und Lösungen anbietet.
Gerne führen wir ein Beratungsgespräch zu ihrer Webapplikation durch. Dabei gehen wir selbstverständlich auf Ihre Wünsche und Bedrohungsszenarien ein. Für weitere Fragen wenden Sie sich bitte an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! .
Publizierte Schwachstellen (Auszug)
- Serendipity 2.0.1: Blind SQL Injection
- Serendipity 2.0.1: Persistent XSS
- Serendipity 2.0.1: Code Execution
- NibbleBlog 4.0.3: Code Execution
- NibbleBlog 4.0.3: CSRF
- Phorum 5.2.19: Reflected XSS (IIS only) and Open Redirect
- Bolt 2.2.4: Code Execution
- ModX Revolution 2.3.5-pl: Reflected Cross Site Scripting Vulnerability
- CodoForum 3.3.1: Multiple SQL Injection Vulnerabilities
- CodoForum 3.3.1: Multiple Cross Site Scripting Vulnerabilities
- BigTree CMS 4.2.3: Multiple SQL Injection Vulnerabilities
- BigTree CMS 4.2.3: Multiple Cross Site Scripting Vulnerabilities