- Start
- Cyber Security
- Leistungen
- Penetration Tests
- Webanwendung
Webanwendung
Web Application und
Web Service Penetration Testing
Web Application und Web Service Penetration Testing bezeichnet die Untersuchung von webbasierten Softwaresystemen auf der Anwendungsschicht aus der Perspektive eines bösartigen Akteurs.
Die Simulation von schadhaften Aktivitäten zur Identifikation von Schwachstellen erfolgt über das öffentliche Internet oder aus dem internen Netzwerk eines Unternehmens und umfasst …
Webanwendungen
Web Services
Warum Penetration Testing?
Durch die fortschreitende Digitalisierung insbesondere von Geschäftsprozessen sind zunehmend mehr unternehmenskritische Bereiche über das öffentliche Internet erreichbar.
Ein ausreichender Schutz vor bösartigen Angreifern ist daher wichtig, um mögliche technische sowie finanzielle Schäden (z.B. durch Datenverlust, Einschränkung der Verfügbarkeit) zu vermeiden.
Mithilfe von Web Application und Web Service Penetration Testing können Schwachstellen innerhalb eines webbasierten Anwendungssystems durch die Simulation von schadhaften Aktivitäten identifiziert werden, um vorhandene Sicherheitsrisiken für eine Anwendung und deren Benutzer zu bestimmen.
Durch gezielte Maßnahmenempfehlungen zur Behebung von identifizierten Schwachstellen kann die Softwarequalität im Bereich IT-Sicherheit (Security) erhöht und ein ausreichender Schutz vor erfolgreichen Angriffen gewährleistet werden.
Im Allgemeinen können durch Sicherheitstests die folgenden Schutzziele [1] gemäß dem Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) überprüft werden:
Vertraulichkeit
Integrität
Verfügbarkeit
Ziel
Das Ziel der Testaktivitäten besteht im Allgemeinen aus den folgenden drei Punkten:
Identifikation von vorhandenen Schwachstellen
Empfehlung geeigneter Maßnahmen
Bestimmung des Sicherheitsniveaus
Allgemeine Testmethodik
Neben den oben genannten allgemeinen Zielen besteht die Möglichkeit in Absprache mit dem Auftraggeber die konkreten Testziele sowie deren Priorisierung individuell im Vorfeld der Testdurchführung zu ermitteln und die Untersuchung entsprechend anzupassen.
Die Untersuchung der client- sowie serverseitigen Komponenten des Anwendungssystems basiert auf dem Vorgehen des OWASP Web Security Testing Guides [2]. Die konkreten Testaktivitäten werden entsprechend dem vereinbarten Kundenziel sowie den technischen Gegebenheiten angepasst.
Nächste Schritte
Nach Abschluss der Untersuchung eines Anwendungssystems bestehen verschiedene Anknüpfungspunkte, um die bisherigen Testaktivitäten wirkungsvoll fortzusetzen. Eine Auswahl sinnvoller Möglichkeiten kann im Gespräch abhängig vom Kundenziel, Kundenwunsch und des Testergebnisses individuell zusammengestellt werden.
Weitere Testaktivitäten im Bereich Web Application und Web Service Penetration Testing
Nach Behebung der identifizierten Schwachstellen kann durch einen wiederholten Test deren Wirksamkeit überprüft werden.
Sich weiterentwickelnde Anwendungssysteme können regelmäßig auf vorhandene Schwachstellen untersucht werden. Die Testaktivitäten können hierbei das gesamte Softwaresystem oder ausschließlich neu hinzugefügte Funktionalitäten umfassen.
Testaktivitäten auf Netzwerkebene
Statische Quelltextanalyse
Sicherheitsberatung
Entwicklerschulung
Quellen
[1] Bundesamt für Sicherheit in der Informationstechnik, IT-Grundschutz-Kompendium (Edition 2023)
[2] The OWASP® Foundation, OWASP Testing Guide v 4.2