Web Application Penetration Testing ist eine Technik zum Testen der Sicherheit von Webanwendungen. Durch eine aktive Analyse der Schwachstellen wird so die Sicherheit einer Webapplikation bewertet.
Ziel ist es, möglichst viele Schwachstellen und Sicherheitslücken zu erkennen und auszunutzen. Die Durchführung ähnelt einem Penetration Test und zielt darauf ab, mithilfe von Penetration Angriffen in die Webapps einzudringen.
Hierbei werden manuelle oder automatisierte Testverfahren verwendet, um Anfälligkeiten in unterschiedlichen Bereichen einer Webapplikation zu identifizieren. Bei den Tests werden bekannte Angriffe wie z. B. SQL-Injection oder Denial of Service Attacken auf die Anwendung ausgeführt. Dabei wird die Stabilität und die Integration auf Beständigkeit geprüft. Der weitere Fokus liegt auf dem Session Management, um Benutzerdaten wie etwa Anmeldedaten der Opfer zu erlangen (Session Hijacking).
Sicherheitslücken in der gesamten Webanwendung und Komponenten (Quellcode, Datenbank, Back-End-Netzwerk) zu identifizieren, um die Webapplikation im Nachgang auf Fehler zu prüfen und Schwachstellen beseitigen zu können.
Das Endergebnis ist eine Zusammenfassung gefundener Sicherheitslücken oder Schwachstellen und eine Bewertung der Auswirkungen auf Webapplikation. Hinzu kommt eine Empfehlung technischer Lösungen zur Schadensminderung oder Behebung des Problems.
Beim ProSec® Web Application Penetration Test arbeiten wir nach der OWASP (Open Web Application Security Project) Methodology (aktuell Version 4.2). Den detaillierten Prüf-Methodology findest Du hier. Hierbei prüfen wir jedes OTG deiner Web Application oder deines Web Services. Folgende Web Service und Application Schwerpunkte decken wir unter anderem ab:
Oft finden sich in Unternehmensausschreibungen Vorgaben, dass nach “OWASP Standard” zu testen sei. Zum einen möchten wir nochmal verdeutlichen, dass es sich bei OWASP um keinen Standard handelt. Zum anderen finden sich im Anschluss oft statt des gewünschten OWASP Levels nur OWASP Top 10 wieder – sprich die 10 Sicherheitslücken & Schwachstellen, die im letzten Jahr identifiziert wurden.
Wir distanzieren uns von solchen “Penetration Tests”, da diese wenig Mehrwert für die IT Sicherheit bieten und nicht ansatzweise dem Qualitätsanspruch unseres Penetration Testings gerecht werden. Infolgedessen lehnen wir pauschal OWASP Top 10 Penetration Tests ab.
Wir bieten zudem als erstes Unternehmen weltweit, angelehnt an deine Softwareentwicklung, agile Penetration Tests seit 2017 an. Sprich uns bitte aus Wettbewerbsgründen für weitere Details an.
Neben dem klassischen Web Application & Web Service Penetration Test bieten wir zudem die zugehörigen Web Application Architektur Penetration Tests an: