Informationssicherheit
Detection. Solution. Education.
#hiringhackers
Möchtest Du mit uns reisen?
Check unsere Jobs!
Previous
Next

Standards & Zertifizierungen

Web Application Penetration Testing

Der Web Application Pentest ist eine Technik zum Testen der Sicherheit von Webanwendungen. Durch eine aktive Analyse der Schwachstellen wird so die Sicherheit einer Webapplikation bewertet.


Ziel ist es, möglichst viele Schwachstellen und Sicherheitslücken zu erkennen und auszunutzen. Die Durchführung ähnelt einem Penetration Test und zielt darauf ab, mithilfe von Penetration Angriffen in die Webapps einzudringen.

Web Application Pentest

Hierbei werden manuelle oder automatisierte Testverfahren verwendet, um Anfälligkeiten in unterschiedlichen Bereichen einer Webapplikation zu identifizieren. Bei den Tests werden bekannte Angriffe wie z. B. SQL-Injection oder Denial of Service Attacken auf die Anwendung ausgeführt. Dabei wird die Stabilität und die Integration auf Beständigkeit geprüft. Der weitere Fokus liegt auf dem Session Management, um Benutzerdaten wie etwa Anmeldedaten der Opfer zu erlangen (Session Hijacking).

Das wichtigste Ergebnis des Web Application Pentests besteht darin, Sicherheitslücken in der gesamten Webanwendung und Komponenten (Quellcode, Datenbank, Back-End-Netzwerk) zu identifizieren, um die Webapplikation im Nachgang auf Fehler zu prüfen und Schwachstellen beseitigen zu können.

Das Endergebnis ist eine Zusammenfassung gefundener Sicherheitslücken oder Schwachstellen und eine Bewertung der Auswirkungen auf Webapplikation. Hinzu kommt eine Empfehlung technischer Lösungen zur Schadensminderung oder Behebung des Problems.

OWASP Web Application Penetration Testing

Beim ProSec® Web Application Penetration Test arbeiten wir nach der OWASP (Open Web Application Security Project) Methodology (aktuell Version 4.2). Den detaillierten Prüf-Methodology findest Du hier. Hierbei prüfen wir jedes OTG deiner Web Application oder deines Web Services. Folgende Web Service und Application Schwerpunkte decken wir unter anderem ab:

  • Java & JVM Penetration Tests
  • Angular application based Penetration Tests
  • Redux application based Penetration Tests
  • JavaScript application based Penetration Tests
  • Python application based Penetration Tests
  • Go application based Penetration Tests
  • SOAP API’s
  • REST API’s
PSN_pentester_office_3

Abgrenzung Mythos OWASP TOP 10 & OWASP

Oft finden sich in Unternehmensausschreibungen Vorgaben, dass nach “OWASP Standard” zu testen sei. Zum einen möchten wir nochmal verdeutlichen, dass es sich bei OWASP um keinen Standard handelt. Zum anderen finden sich im Anschluss oft statt des gewünschten OWASP Levels nur OWASP Top 10 wieder – sprich die 10 Sicherheitslücken & Schwachstellen, die im letzten Jahr identifiziert wurden.

Wir distanzieren uns von solchen “Penetration Tests”, da diese wenig Mehrwert für die IT Sicherheit bieten und nicht ansatzweise dem Qualitätsanspruch unseres Penetration Testings gerecht werden. Infolgedessen lehnen wir pauschal OWASP Top 10 Penetration Tests ab.

Agiles(Agile) Penetration Testing

Wir bieten zudem als erstes Unternehmen weltweit, angelehnt an deine Softwareentwicklung, agile Penetration Tests seit 2017 an. Sprich uns bitte aus Wettbewerbsgründen für weitere Details an.

OWASP Web Service und Application Architecture

PSN_pentester_office_2

Neben dem klassischen Web Application & Web Service Penetration Test bieten wir zudem die zugehörigen Web Application Architektur Penetration Tests an:

  • Amazon AWS Penetration Tests
  • Microsoft Azure Penetration Tests
  • JBoss Penetration Tests
  • Weblogic Penetration Tests
  • Tomcat Penetration Tests
  • Apache HTTPd Penetration Tests
  • Microsoft IIS Penetration Tests
  • Language based embedded webserver Penetration Tests
  • MySQL Penetration Tests
  • NoSQL
  • Oracle SQL Penetration Tests
  • PostgreSQL Penetration Tests
  • CouchDB Penetration Tests
    etc.

Wir verwenden Cookies, um Ihnen die bestmögliche Erfahrung zu bieten. Wenn Sie unsere Website weiterhin besuchen, stimmen Sie der Verwendung von Cookies zu, wie in unserer Datenschutzerklärung beschrieben.