Der überwältigende Teil heutiger Anwendungen basiert auf Web-Technologien, nicht nur klassische Webseiten im World Wide Web, sondern auch Applikationen in Cloud-Umgebungen, Virtualisierungen, auf größeren IoTs wie SmartTVs, aber auch auf Smartphones und PCs.
Vertraute Beispiele hierfür dürften zum Beispiel die Twitch-App, Spotify, WhatsApp, Microsoft Teams und Visual Studio Code sein. Um vor Gefahren geschützt zu sein, die sich aus diesem Umstand ergeben, bieten sich ein Website Penetration Test oder ein Web Application Penetration Test an.
Wie so viele Bezeichnungen, werden auch „Website Penetration Test“ und „Web Application Penetration Test“ häufig synonym verwendet. Dabei beschreiben jedoch beide jeweils einen etwas anderen Testansatz.
Man muss sich dennoch eingestehen, dass die Grenzen in zunehmender Prüftiefe beginnen zu verwischen. Ob für Ihren speziellen Fall eher ein Website Penetration Test oder ein Web Application Penetration Test infrage kommt, wollen wir von ProSec im Folgenden deutlich machen.
In der Praxis spielt sich ein Web Application Penetration Test (Stichwort OWASP WSTG – Web Security Testing Guide als häufig verwendete Testmethodik) häufig in zwei Formen ab.
Im 1. Fall wird die Webapplikation an sich getestet. Ungehindert von Beschränkungen und Schutzmaßnahmen durch die bereitgestellte Infrastruktur können so Schwachstellen in der Applikation gefunden werden, die andernfalls vielleicht durch die getroffenen Maßnahmen der Infrastruktur vollständig oder teilweise abgefangen werden oder nicht sofort ausnutzbar sind. Dadurch bestünde jedoch stets eine Gefahr durch Angreifer, die über entsprechendes Niveau, Motivation und besonders Zeit verfügen. Ein zeitlich begrenzter Test reicht aus diesem Grund meist nicht aus. Dieser Vorgang bietet sich daher bei Anwendungen an, die sich noch in der Entwicklung befinden, bzw. dann, wenn eine Entwicklungsumgebung vorhanden ist.
Der 2. Fall bezieht auch die Infrastruktur und ihre Schutzmaßnahmen mit ein und erfolgt häufig dann, wenn sich die Anwendung bereits im produktiven Einsatz befindet und keine Entwicklungsumgebung verfügbar ist.
Hier beginnt dann auch das langsame Verwischen der Abgrenzungen zwischen Web Application Penetration und Website Penetration.
Beim Website Penetration Test wird sich mehr auf die Infrastruktur fokussiert. Ein solcher Test kommt in diesem Zusammenhang häufig auch zur Anwendung, wenn die Application nicht groß bzw. komplex genug ist, um einen Web Application Penetration Test nach dem OWASP Web Security Testing Guide zu rechtfertigen.
Bei einem solchen Website Penetration Test werden vor allem die Server, die die Application bereitstellen, so wie man sie für die Produktivumgebung eingestellt hat oder würde, nach Schwachstellen überprüft. Das heißt allerdings nicht, dass der OWASP Web Security Testing Guide beim Website Penetration Testing nicht zur Anwendung kommt, sondern nur in geringerem Umfang und geringerer Tiefe.
Hier finden sich vor allem klassische Webseiten, One-Server-Application und die meisten auf Content Management Systemen wie WordPress, Magento und Typo3 basierenden Applikationen wieder.
