Web Application Penetration Testing
Unlock Customer Insights

Standards & Zertifizierungen

Web Application Penetration Testing

Web Application Penetration Testing ist eine Technik zum Testen der Sicherheit von Webanwendungen. Durch eine aktive Analyse der Schwachstellen wird so die Sicherheit einer Webapplikation bewertet.

Ziel ist es, möglichst viele Schwachstellen und Sicherheitslücken zu erkennen und auszunutzen. Die Durchführung ähnelt einem Penetration Test und zielt darauf ab, mithilfe von Penetration Angriffen in die Webapps einzudringen.

Inhaltsverzeichnis

Web Application Pentest

Hierbei werden manuelle oder automatisierte Testverfahren verwendet, um Anfälligkeiten in unterschiedlichen Bereichen einer Webapplikation zu identifizieren. Bei den Tests werden bekannte Angriffe wie z. B. SQL-Injection oder Denial of Service Attacken auf die Anwendung ausgeführt. Dabei wird die Stabilität und die Integration auf Beständigkeit geprüft. Der weitere Fokus liegt auf dem Session Management, um Benutzerdaten wie etwa Anmeldedaten der Opfer zu erlangen (Session Hijacking).

Was ist das Ziel von Web Application Penetration Testing?

Das wichtigste Ergebnis des Web Application Penetration Testing besteht darin, Sicherheitslücken in der gesamten Webanwendung und Komponenten (Quellcode, Datenbank, Back-End-Netzwerk, Schnittstellen/ API’s) zu identifizieren, um die Webapplikation im Nachgang auf Fehler zu prüfen und Schwachstellen beseitigen zu können. Das Endergebnis ist eine Zusammenfassung gefundener Sicherheitslücken oder Schwachstellen und eine Bewertung der Auswirkungen auf Webapplikation. Hinzu kommt eine Empfehlung technischer Lösungen zur Schadensminderung oder Behebung des Problems.

Möchtest du erfahren, wie unser Aktionsplan gestaltet ist und wie du ihn nutzen kannst?

Schließt Web App Penetration Testing auch API Testing ein?

API’s sind häufig Bestandteil von Webanwendungen oder Webarchitekturen und werden (wenn vorhanden oder Bestandteil der Prüfung) wie alle anderen Schnittstellen im Rahmen eines Mobile oder Web Application Penetration Tests von uns mit geprüft.


Für dedizierte oder eigen entwickelte API’s empfiehlt es sich in der Regel, nicht im Blackbox Ansatz zu testen, sondern eine API Dokumentation zu erhalten.

Welche Bereiche oder Funktionen werden beim API Testing getestet?


Im Grunde dieselben wie bei jedem Web Applciation Pentest sofern vorhanden, wie beispielsweise:
• Session Management Testing
• Input Validation Testing
• Authentication & Authorization Testing
• etc…

Unternehmensspezifische Details besprechen wir gerne persönlich!

OWASP Web Application Penetration Testing

Was ist die OWASP Methodology?

Beim ProSec® Web Application Penetration Test arbeiten wir nach der OWASP (Open Web Application Security Project) Methodology (aktuell Version 4.2). Die detaillierte Prüf-Methodology findest Du hier. Hierbei prüfen wir alle Bereiche, Funktionen und Schnittstellen deiner Web Application, deines Web Services oder zugehöriger Schnittstellensysteme. Folgende Web Service und Application Schwerpunkte decken wir unter anderem ab:

  • Java & JVM Penetration Tests
  • Angular application based Penetration Tests
  • Redux application based Penetration Tests
  • JavaScript application based Penetration Tests
  • Python application based Penetration Tests
  • Go application based Penetration Tests
  • SOAP API’s
  • REST API’s
PSN Pentester Office

Was hat es mit dem Mythos OWASP Top 10 auf sich?

Oft finden sich in Unternehmensausschreibungen Vorgaben, dass nach „OWASP Standard“ zu testen sei. Zum einen möchten wir darauf hinweisen, dass es sich bei OWASP um keinen Standard handelt. Zum anderen entpuppt sich das gewünschte OWASP Level am Ende oft als reduziertes „OWASP Top 10“-Level – sprich die 10 Sicherheitslücken und Schwachstellen, die im letzten Jahr identifiziert wurden.

Wir distanzieren uns von solchen „Penetration Tests“, da diese wenig Mehrwert für die IT Sicherheit bieten und nicht ansatzweise dem Qualitätsanspruch unseres Penetration Testings gerecht werden. Infolgedessen lehnen wir OWASP Top 10 Penetration Tests grundsätzlich ab.

Agiles (Agile) Penetration Testing

Wir bieten zudem seit 2017 als erstes Unternehmen weltweit, angelehnt an deine Softwareentwicklung, agile Penetration Tests an. Sprich uns bitte aus Wettbewerbsgründen für weitere Details an.

Web Application Architecture Penetration Tests

PSN Pentester Office

Neben dem klassischen Web Application & Web Service Penetration Test bieten wir zudem die zugehörigen Web Application Architektur Penetration Tests an:

  • Amazon AWS Penetration Tests
  • Microsoft Azure Penetration Tests
  • JBoss Penetration Tests
  • Weblogic Penetration Tests
  • Tomcat Penetration Tests
  • Apache HTTPd Penetration Tests
  • Microsoft IIS Penetration Tests
  • Language based embedded webserver Penetration Tests
  • MySQL Penetration Tests
  • NoSQL
  • Oracle SQL Penetration Tests
  • PostgreSQL Penetration Tests
  • CouchDB Penetration Tests
    etc.