Ist Ihre Webapplikation sicher?

Mit unser Webapplikationsanalyse schaffen Sie Klarheit!

Häufig habn Webapplikationsanalyse und Webseiten mehrerer kritische Schwachstellen, die ein erfahrener Angreifer leicht ausnutzen kann. Mit unserer Webapplikationsanalyse bekommen Sie eine qualifizierte Untersuchung Ihrer Web-Anwendung auf Schwachstellen. Bei einem klassischen Pentest wird häufig nur die erstbeste Möglichkeit genutzt, um das System zu kompromittieren. Alternative Wege werden so häufig ausser Acht gelassen. Wir legen deshalb großen Wert auf eine umfassende Analyse. Der Bericht ist es eine Gesamtschau über ALLE vorhandenen Schwachstellen und zeigt Ihnen Wege, diese zu beseitigen, um so das System nachhaltig zu verbessern.

Das bekommen Sie bei unserer Webapplikationsanalyse

  • Vollständige Untersuchung der Web-Anwendung gemäß etablierter Vorgehensweise
  • Detailierte Analyse unter Berücksichtigung der gesamten Infrastruktur
  • Objektive Risikobewertung der gefundenen Schwachstellen
  • Effektive Empfehlungen zur Härtung der Applikation

Vorgehensweise

  • Meeting

    In einem Vorgespräch ermitteln wir Ihre Erwartungen, sowie für den Test relevante Details der Anwendung und erläutern unsere Vorgehensweise.

  • Analyse

    Während der Analyse testen wir die Web-Applikation umfassend auf Schwachstellen.

  • Report

    Die gefundenen Schwachstellen werden detailliert dokumentiert und deren Risiko bewertet.

  • Präsentation

    Die Ergebnisse der Analyse werden besprochen und die empfohlenen Gegenmaßnahmen gemeinsam diskutiert.

Analyse

Eine gelungene Analyse benötigt eine abgestimmte Planung und optimale Durchführung. Die Analyse führen wir weitestgehend autark durch, nachdem wir mit Ihnen den Zeitraum der Durchführung abgestimmt haben. Unser Vorgehen orientiert sich an dem umfangreichen OWASP Testing Guide. Mindestens so wichtig wie das strukturierte Vorgehen, ist jedoch unser Gespür, die Erfahrung und ein feines Näschen, um die oft versteckten Probleme auch wirklich aufzuspüren. All diese Fähigkeiten haben automatisierten Scanner nicht. Deshalb nutzen wir die automatisierten Tools nur zur Unterstützung und zum schnellen Auffinden erster potentieller Angriffspunkte. Dann beginnt unsere eigentliche Arbeit.

Wir führen Untersuchungen unter anderem in folgenden Bereichen durch:

  • Öffentliche Informationen aus Suchmaschinen
  • Serverinfrastruktur z.B. die Versionen der eingesetzten Komponenten
  • Identitätsmanagement u.a. welche Rollen existieren in der Anwendung?
  • Authentifizierung z.B. wie werden die Benutzer-ID übertragen?
  • Autorisierung u.a. ist es möglich auf Daten anderer Benutzer zu zugreifen?
  • Sitzungsverhalten u.a. wird eine Sitzung sauber beendet?
  • Eingabevalidierung z.B. ist es möglich mit Benutzereingaben eigenen Code auszuführen?
  • Fehlerbehandlung z.B. welche Informationen enthalten die Fehlermeldungen?
  • Kryptographie z.B. werden schwache Verschlüsselungsverfahren unterstützt?
  • Anwendungslogik u.a. darf ein Benutzer negative Werte eingeben?
  • Clientseitige Schwachstellen z.B. werden die Daten lokal gespeichert?

Dokumentation

Unser Bericht besteht aus mehreren Abschnitten:

  • Management Report enthält eine leicht verständliche Zusammenfassung der Ergebnisse der Analyse, inklusive der Aufzählung der "dringendsten Baustellen". Dieser Abschnitt richtet sich vor allem an Entscheider, IT- und Budget-Verantwortliche.
  • Eine Vergleich zur OWASP-Top10: Hier erfahren Sie auf einen Blick, wie gut ihre Applikation gegen die am häufigsten gefunden Schwachstellen aufgestellt ist. Denn die Angreifer nutzen gerne immer wieder Schwachstellen vom gleichen Typ, um in Applikation einzudringen.
  • ASVS Report ist eine Auswertung der Web-Applikation anhand der Application Security Verification Standard von OWASP. Diese Methodik wendet einen ganz anderen Ansatz bei der Analyse der Sicherheit der Web-Anwendung an. Anstatt primär nach Schwachstellen in der Web-Anwendung zu suchen, wird hier die erfolgreiche Umsetzung der Schutzmaßnahmen verifiziert. Die Vergleichbarkeit der Ergebnisse und die Evaluierung der Web-Anwendung stellen aus unserer Sicht die unschlagbaren Vorteile dieser Methodik dar.
  • Ergebnisse der Untersuchungen gemäß OWASP Testing Guide zusammen mit weiteren applikationsspezifischen Untersuchungen. Bei vorhandenen Schwachstellen führen wir jeweils eine individuelle, transparente und objektive Risikobewertung gemäß OWASP Risk Rating Methodology durch. Durch die Risikoanalyse der gefundenen Schwachstellen erhalten Sie eine Übersicht an welcher Stelle der Applikation die am dringendsten zu behebenden Schwachpunkte liegen.

Empfehlungen

Im kontinuierlichen Sicherheitsprozesses ist die Analyse nur eine Phase des Zyklus. Um den Übergang in die nächste Phase der Verbesserung und Optimierung zu vereinfachen, schlagen wir Ihnen in unserem Bericht mögliche Lösungen zur Beseitigung der Sicherheitsmängel vor. Durch die individuelle und objektive Risikobewertung der Schwachstellen bekommen die Lösungsvorschläge eine sinnvolle Priorisierung. Dabei versuchen wir unsere Lösungsvorschläge möglichst individuell auf Ihre Bedürfnisse und Umgebung anzupassen. Schließlich können je nach Anwendungsszenario unterschiedliche Ansprüche an Schutzziele wie Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität existieren.