Sie befin­den sich hier:

Web­an­wen­dung

Web Appli­ca­ti­on und
Web Ser­vice Pene­tra­ti­on Test­ing

Web Appli­ca­ti­on und Web Ser­vice Pene­tra­ti­on Test­ing bezeich­net die Unter­su­chung von web­ba­sier­ten Soft­ware­sys­te­men auf der Anwen­dungs­schicht aus der Per­spek­ti­ve eines bös­ar­ti­gen Akteurs.

Die Simu­la­ti­on von schad­haf­ten Akti­vi­tä­ten zur Iden­ti­fi­ka­ti­on von Schwach­stel­len erfolgt über das öffent­li­che Inter­net oder aus dem inter­nen Netz­werk eines Unter­neh­mens und umfasst …

Web­an­wen­dun­gen
z. B. Web­shops, Con­tent Manage­ment Sys­te­me (CMS), Por­ta­le, etc.
Web Ser­vices
z. B. RESTful APIs, SOAP Ser­vices, Web­so­ckets, etc.

War­um Pene­tra­ti­on Test­ing?

Durch die fort­schrei­ten­de Digi­ta­li­sie­rung ins­be­son­de­re von Geschäfts­pro­zes­sen sind zuneh­mend mehr unter­neh­mens­kri­ti­sche Berei­che über das öffent­li­che Inter­net erreich­bar.

Ein aus­rei­chen­der Schutz vor bös­ar­ti­gen Angrei­fern ist daher wich­tig, um mög­li­che tech­ni­sche sowie finan­zi­el­le Schä­den (z.B. durch Daten­ver­lust, Ein­schrän­kung der Ver­füg­bar­keit) zu ver­mei­den.

Mit­hil­fe von Web Appli­ca­ti­on und Web Ser­vice Pene­tra­ti­on Test­ing kön­nen Schwach­stel­len inner­halb eines web­ba­sier­ten Anwen­dungs­sys­tems durch die Simu­la­ti­on von schad­haf­ten Akti­vi­tä­ten iden­ti­fi­ziert wer­den, um vor­han­de­ne Sicher­heits­ri­si­ken für eine Anwen­dung und deren Benut­zer zu bestim­men.

Durch geziel­te Maß­nah­men­emp­feh­lun­gen zur Behe­bung von iden­ti­fi­zier­ten Schwach­stel­len kann die Soft­ware­qua­li­tät im Bereich IT-Sicher­heit (Secu­ri­ty) erhöht und ein aus­rei­chen­der Schutz vor erfolg­rei­chen Angrif­fen gewähr­leis­tet wer­den.

Im All­ge­mei­nen kön­nen durch Sicher­heits­tests die fol­gen­den Schutz­zie­le [1] gemäß dem Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (kurz BSI) über­prüft wer­den:

Ver­trau­lich­keit
“Ver­trau­lich­keit ist der Schutz vor unbe­fug­ter Preis­ga­be von Infor­ma­tio­nen. Ver­trau­li­che Daten und Infor­ma­tio­nen dür­fen aus­schließ­lich Befug­ten in der zuläs­si­gen Wei­se zugäng­lich sein.”
Inte­gri­tät
“Inte­gri­tät bezeich­net die Sicher­stel­lung der Kor­rekt­heit (Unver­sehrt­heit) von Daten und der kor­rek­ten Funk­ti­ons­wei­se von Sys­te­men.”
Ver­füg­bar­keit
Die Ver­füg­bar­keit von Dienst­leis­tun­gen, Funk­tio­nen eines IT-Sys­tems, IT-Anwen­dun­gen oder IT-Net­zen oder auch von Infor­ma­tio­nen ist vor­han­den, wenn die­se von den Anwen­dern stets wie vor­ge­se­hen genutzt wer­den kön­nen.

Ziel

Das Ziel der Test­ak­ti­vi­tä­ten besteht im All­ge­mei­nen aus den fol­gen­den drei Punk­ten:

Iden­ti­fi­ka­ti­on von vor­han­de­nen Schwach­stel­len
und Fehl­kon­fi­gu­ra­tio­nen inner­halb des Anwen­dungs­sys­tems.
Emp­feh­lung geeig­ne­ter Maß­nah­men
zur Behe­bung der Schwach­stel­len, um die Soft­ware­qua­li­tät im Bereich IT-Sicher­heit (Secu­ri­ty) zu erhö­hen.
Bestim­mung des Sicher­heits­ni­veaus
auf Anwen­dungs­ebe­ne zum Zeit­punkt der Test­durch­füh­rung auf Basis der Test­ergeb­nis­se.

All­ge­mei­ne Test­me­tho­dik

Neben den oben genann­ten all­ge­mei­nen Zie­len besteht die Mög­lich­keit in Abspra­che mit dem Auf­trag­ge­ber die kon­kre­ten Test­zie­le sowie deren Prio­ri­sie­rung indi­vi­du­ell im Vor­feld der Test­durch­füh­rung zu ermit­teln und die Unter­su­chung ent­spre­chend anzu­pas­sen.

Die Unter­su­chung der cli­ent- sowie ser­ver­sei­ti­gen Kom­po­nen­ten des Anwen­dungs­sys­tems basiert auf dem Vor­ge­hen des OWASP Web Secu­ri­ty Test­ing Gui­des [2]. Die kon­kre­ten Test­ak­ti­vi­tä­ten wer­den ent­spre­chend dem ver­ein­bar­ten Kun­den­ziel sowie den tech­ni­schen Gege­ben­hei­ten ange­passt.

Nächs­te Schrit­te

Nach Abschluss der Unter­su­chung eines Anwen­dungs­sys­tems bestehen ver­schie­de­ne Anknüp­fungs­punk­te, um die bis­he­ri­gen Test­ak­ti­vi­tä­ten wir­kungs­voll fort­zu­set­zen. Eine Aus­wahl sinn­vol­ler Mög­lich­kei­ten kann im Gespräch abhän­gig vom Kun­den­ziel, Kun­den­wunsch und des Test­ergeb­nis­ses indi­vi­du­ell zusam­men­ge­stellt wer­den.

Wei­te­re Test­ak­ti­vi­tä­ten im Bereich Web Appli­ca­ti­on und Web Ser­vice Pene­tra­ti­on Test­ing
Die bis­he­ri­gen Test­ak­ti­vi­tä­ten kön­nen auf wei­te­re Soft­ware­sys­te­me aus­ge­wei­tet wer­den.

Nach Behe­bung der iden­ti­fi­zier­ten Schwach­stel­len kann durch einen wie­der­hol­ten Test deren Wirk­sam­keit über­prüft wer­den.

Sich wei­ter­ent­wi­ckeln­de Anwen­dungs­sys­te­me kön­nen regel­mä­ßig auf vor­han­de­ne Schwach­stel­len unter­sucht wer­den. Die Test­ak­ti­vi­tä­ten kön­nen hier­bei das gesam­te Soft­ware­sys­tem oder aus­schließ­lich neu hin­zu­ge­füg­te Funk­tio­na­li­tä­ten umfas­sen.
Test­ak­ti­vi­tä­ten auf Netz­wer­kebe­ne
Die Unter­su­chung kann von der Anwen­dungs­schicht auf das Netz­werk aus­ge­wei­tet wer­den, um wei­te­re Angriffs­vek­to­ren inner­halb des Unter­neh­mens­netz­werks zu iden­ti­fi­zie­ren.
Sta­ti­sche Quell­text­ana­ly­se
Zusätz­lich zur Unter­su­chung des Anwen­dungs­sys­tems zur Lauf­zeit kann der Quell­text auf mög­li­che Schwach­stel­len ana­ly­siert wer­den, um eine maxi­ma­le Test­ab­de­ckung zu gewähr­leis­ten.
Sicher­heits­be­ra­tung
Auf Basis gewon­ne­ner Erkennt­nis­se und iden­ti­fi­zier­ter Schwach­stel­len kön­nen all­ge­mei­ne oder anwen­dungs­spe­zi­fi­sche The­men im Bereich IT-Sicher­heit, Best-Prac­ti­ces oder Know-How zur Sen­si­bi­li­sie­rung oder für Lösungs­an­sät­ze ver­mit­telt wer­den.
Ent­wick­ler­schu­lung
Sind ver­schie­de­ne Angriffs­sze­na­ri­en oder Maß­nah­men­emp­feh­lun­gen aus Sicht der Ent­wick­ler­per­spek­ti­ve unbe­kannt, so kann durch geziel­te Schu­lungs­in­hal­te eine Ver­mitt­lung von Grund­la­gen­wis­sen im Bereich siche­re Soft­ware­ent­wick­lung erfol­gen.

Quel­len

[1] Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik, IT-Grund­schutz-Kom­pen­di­um (Edi­ti­on 2023)

[2] The OWASP® Foun­da­ti­on, OWASP Test­ing Gui­de v 4.2