Möchtest du erfahren, wie unser Aktionsplan gestaltet ist und wie du ihn nutzen kannst?
Standards & Zertifizierungen
Web Application Penetration Testing ist eine Technik zum Testen der Sicherheit von Webanwendungen. Durch eine aktive Analyse der Schwachstellen wird so die Sicherheit einer Webapplikation bewertet.
Ziel ist es, möglichst viele Schwachstellen und Sicherheitslücken zu erkennen und auszunutzen. Die Durchführung ähnelt einem Penetration Test und zielt darauf ab, mithilfe von Penetration Angriffen in die Webapps einzudringen.
Hierbei werden manuelle oder automatisierte Testverfahren verwendet, um Anfälligkeiten in unterschiedlichen Bereichen einer Webapplikation zu identifizieren. Bei den Tests werden bekannte Angriffe wie z. B. SQL-Injection oder Denial of Service Attacken auf die Anwendung ausgeführt. Dabei wird die Stabilität und die Integration auf Beständigkeit geprüft. Der weitere Fokus liegt auf dem Session Management, um Benutzerdaten wie etwa Anmeldedaten der Opfer zu erlangen (Session Hijacking).
Möchtest du erfahren, wie unser Aktionsplan gestaltet ist und wie du ihn nutzen kannst?
API’s sind häufig Bestandteil von Webanwendungen oder Webarchitekturen und werden (wenn vorhanden oder Bestandteil der Prüfung) wie alle anderen Schnittstellen im Rahmen eines Mobile oder Web Application Penetration Tests von uns mit geprüft.
Für dedizierte oder eigen entwickelte API’s empfiehlt es sich in der Regel, nicht im Blackbox Ansatz zu testen, sondern eine API Dokumentation zu erhalten.
Welche Bereiche oder Funktionen werden beim API Testing getestet?
Im Grunde dieselben wie bei jedem Web Applciation Pentest sofern vorhanden, wie beispielsweise:
• Session Management Testing
• Input Validation Testing
• Authentication & Authorization Testing
• etc…
Unternehmensspezifische Details besprechen wir gerne persönlich!
Beim ProSec® Web Application Penetration Test arbeiten wir nach der OWASP (Open Web Application Security Project) Methodology (aktuell Version 4.2). Die detaillierte Prüf-Methodology findest Du hier. Hierbei prüfen wir alle Bereiche, Funktionen und Schnittstellen deiner Web Application, deines Web Services oder zugehöriger Schnittstellensysteme. Folgende Web Service und Application Schwerpunkte decken wir unter anderem ab:
Oft finden sich in Unternehmensausschreibungen Vorgaben, dass nach „OWASP Standard“ zu testen sei. Zum einen möchten wir darauf hinweisen, dass es sich bei OWASP um keinen Standard handelt. Zum anderen entpuppt sich das gewünschte OWASP Level am Ende oft als reduziertes „OWASP Top 10“-Level – sprich die 10 Sicherheitslücken und Schwachstellen, die im letzten Jahr identifiziert wurden.
Wir distanzieren uns von solchen „Penetration Tests“, da diese wenig Mehrwert für die IT Sicherheit bieten und nicht ansatzweise dem Qualitätsanspruch unseres Penetration Testings gerecht werden. Infolgedessen lehnen wir OWASP Top 10 Penetration Tests grundsätzlich ab.
Wir bieten zudem seit 2017 als erstes Unternehmen weltweit, angelehnt an deine Softwareentwicklung, agile Penetration Tests an. Sprich uns bitte aus Wettbewerbsgründen für weitere Details an.
Neben dem klassischen Web Application & Web Service Penetration Test bieten wir zudem die zugehörigen Web Application Architektur Penetration Tests an:
Penetration Testing Portfolio
