Web Application Penetrationstests

Ein Web Application Penetrationstest ist ein Penetrationstest, der sich gezielt gegen Webanwendungen und Webservice APIs richtet. Webanwendungen werden inzwischen für viele geschäftskritische Dienste genutzt und sind deshalb für Angreifer ein primäres Ziel.

Das Open Web Application Security Project (OWASP) ist eine international aktive Non-Profit-Organisation die sich zum Ziel gesetzt hat, die Sicherheit von Webanwendungen und webbasierten Diensten zu verbessern. OWASP richtet sich dabei insbesondere an die Entwickler von Webanwendungen und versucht diese für die Informationssicherheit zu sensibilisieren.

In nicht ganz regelmäßigen Abständen, zuletzt 2021, veröffentlicht OWASP eine Liste der zehn aus ihrer Sicht größten Risiken.

• A01:2021 – Fehler in der Zugriffskontrolle
• A02:2021 – Kryptografische Fehler
• A03:2021 – Injektion inkl. Cross Site Scripting
• A04:2021 – Unsichere Programmarchitektur
• A05:2021 – Sicherheitsrelevante Fehlkonfiguration
• A06:2021 – Angreifbare und veraltete Komponenten
• A07:2021 – Fehler in der Identifizierung und Authentifizierung
• A08:2021 – Verletzung der Programm- und Datenintegrität
• A09:2021 – Unzureichendes Logging und Monitoring
• A10:2021 – Server-Side Request Forgery (SSRF)

Ein zentraler Bestandteil jedes Penetrationstests gegen eine Webanwendung ist deshalb die Prüfung der Top 10 Risiken. Ein vollständiger Penetrationstest darf sich jedoch auch nicht auf diese 10 Punkte beschränken.

Um Fehler und Schwachstellen systematisch zu ermitteln ist eine standardisierte Vorgehensweise empfehlenswert. Wir verwenden den ebenfalls von OWASP entwickelten Web Security Testing Guide (WSTG), der Stand 2023 in einer veröffentlichten Version 4.2 und einer Entwicklungsversion 5.0 vorliegt. Der WSTG enthält 12 Unterkapitel mit Themen, die in einem Penetrationstest geprüft werden sollten.

1. Information Gathering
2. Configuration and Deployment Management Testing
3. Identity Management Testing
4. Authentication Testing
5. Authorization Testing
6. Session Management Testing
7. Input Validation Testing
8. Testing for Error Handling
9. Testing for Weak Cryptography
10. Business Logic Testing
11. Client-side Testing
12. API Testing

Je nach gewünschter Prüftiefe und vereinbartem Testumfang können die einzelnen Prüfpunkte aus diesen Kapiteln unterschiedlich umfangreich verifiziert werden.

Sicherheitsrisiken treten nicht nur in klassischen, mit dem Browser zu bedienenden Webanwendungen und Webshops auf. Vermehrt werden auch Webservice APIs genutzt, die Daten als XML oder JSON bereitstellen. Als Frontend dient dann eine in JavaScript erstellte Anwendung im Browser, eine Mobile App auf einem Smartphone oder eine andere Anwendung beispielsweise in Microservice-Architekturen.

Web APIs enthalten ihre eigenen Risiken und Gefahren und sollten deshalb genauso umfangreich und sorgfältig geprüft werden wie klassische Webanwendungen.

Die Kosten eines Web Application Penetrationstests richten sich insbesondere nach der Größe und Komplexität der Webanwendung sowie nach der gewünschten oder benötigten Prüftiefe. Ein einfaches Kundenportal benötigt natürlich weniger Zeit zum Testen als eine datenschutzkritische Anwendung in der sensible personenbezogene Daten verarbeitet werden oder ein Webshop in dem mit Kreditkarten bezahlt wird.

Am besten ist es deshalb, wenn Sie uns Ihre Anwendung kurz vorstellen und wir gemeinsam Prüfaufwand und Prüftiefe festlegen. Vereinbaren Sie einfach einen Termin mit uns.

In unserem Penetrationstest decken wir Schwachstellen und Sicherheitslücken in ihrer Webanwendung auf, bevor es die Angreifer tun. So sind Ihre Daten bestmöglich geschützt.

Zu jeder gefundenen Schwachstelle erhalten Sie einen ausführlichen Bericht mit Nachweisen sowie Empfehlungen zur Behebung und Verbesserung der Sicherheit.

Zusätzlich erhalten Sie eine Bescheinigung über den durchgeführten Penetrationstest, der Ihnen bzw. Ihren Kunden ggf. nach einem Nachtest die Sicherheit Ihrer Anwendung bestätigt.

Vereinbaren Sie einfach einen Termin mit uns. Wir stellen Ihnen unsere Penetrationstests und unsere Vorgehensweise gerne im Detail vor.