(Web)Application Security Audit
Da auf Anwendungsebene häufig kritische Geschäftsprozesse und finanzielle Transaktionen abgewickelt werden, ist diese für Angreifer von besonderem Interesse. Im Internet exponierte Web-Anwendungen unterliegen dabei, aufgrund deren weltweiten Erreichbarkeit, besonderen Gefährdungen. Sie verfügen oftmals über eine direkte Anbindung an interne Systeme (Datenbank des ERP-Systems etc.) und bilden somit auch ein potentielles Einfallstor in das interne Netzwerk.
Bei einem (Web)Application Security Audit werden Angriffe auf die Anwendung und innerhalb der Anwendung simuliert. Es wird sowohl das Basissystem (Betriebssystem, Web Server, Content Management System etc.) hinsichtlich vorhandener Schwachstellen analysiert, als auch die Anwendung selbst. Dabei nimmt der Auditor nicht nur die Perspektive externer Angreifer ein. Auch das Fehlverhalten privilegierter und unprivilegierter Benutzer ist in ein solches Audit einzubeziehen. Angriffsversuche reichen vom Exploiting des Basissystems bis hin zur Datenbankmanipulation mittels Eingabe- und Abfragemasken.
Grundsätzlich erfolgen (Web)Application Security Audits mit dem Ansatz einer vollständigen Prüfung. Jedoch ist, abhängig von der Art der Anwendung sowie den relevanten Bedrohungen, auch ein risikobasierter Ansatz möglich (vergleichbar mit einem Penetrationstest). Im Bereich der Web Application Security richten wir uns nach den Vorgaben des international anerkannten Open Web Application Security Project - OWASP.
Bei einem (Web)Application Security Audit werden Angriffe auf die Anwendung und innerhalb der Anwendung simuliert. Es wird sowohl das Basissystem (Betriebssystem, Web Server, Content Management System etc.) hinsichtlich vorhandener Schwachstellen analysiert, als auch die Anwendung selbst. Dabei nimmt der Auditor nicht nur die Perspektive externer Angreifer ein. Auch das Fehlverhalten privilegierter und unprivilegierter Benutzer ist in ein solches Audit einzubeziehen. Angriffsversuche reichen vom Exploiting des Basissystems bis hin zur Datenbankmanipulation mittels Eingabe- und Abfragemasken.
Grundsätzlich erfolgen (Web)Application Security Audits mit dem Ansatz einer vollständigen Prüfung. Jedoch ist, abhängig von der Art der Anwendung sowie den relevanten Bedrohungen, auch ein risikobasierter Ansatz möglich (vergleichbar mit einem Penetrationstest). Im Bereich der Web Application Security richten wir uns nach den Vorgaben des international anerkannten Open Web Application Security Project - OWASP.
Übersicht
(Web)Application Security Audit
- Detaillierte Prüfung von (Web)Applikationen
- Gezielte Angriffe / Simulation komplexer Angriffsszenarien
- Prüfung auch aus Perspektive privilegierter Benutzer
- Priorisierte Maßnahmenkatalog für alle identifizierten Mängel
Als Ergebnis des Audits erhalten Sie eine fundierte Bewertung Ihrer Applikationssicherheit sowie der Qualität der rogrammierung. Wesentlicher Bestandteil des Abschlussberichts ist außerdem ein priorisierter Maßnahmenkatalog, in welchem allen identifizierten Sicherheitsschwachstellen konkrete Lösungen zugeordnet werden.
Phasen des (Web)Application Security Audits
1Kick-off Meeting
-
Erläuterung der Web-Applikation
(Verfahrensabhängig: White Box / Black Box / Grey Box)
- Definition relevanter Risikoszenarien & Prüfungsschwerpunkte
- Klärung technischer & rechtlicher Rahmenbedingungen
- Definition Projektverlauf, Ansprechpartner / Verantwortlichkeiten & Termine
2Projektvorbereitung
- Verbindliche Termin- & Ressourcenplanung
- Aktualisierung der Testwerkzeuge
3Prüfung des Basissystems
-
Footprinting / Enumeration
Scan der IP-Ranges / Bestimmung der Angriffsfläche
-
Analye
Tool-basierte und manuelle Identifikation von Schwachstellen
-
Verifikation
Verifikation mittels direkter Angriffe auf das Basissystem
4Prüfung der Applikation
-
Footprinting/Enumeration
Applikations-Mapping / Bestimmung der Angriffsfläche / Crawling / Spidering / Suchmaschinenanalyse
-
Betrachtung Technologie/Konfiguration
SSL / TLS / Datenbank / Backup- & Konfigurationsdateien
-
Analyse & Verifikation
Authentifizierung / Session Management / OWASP Top-10 / Applikationslogik / erweiterte Angriffe (Multistage)
5Erstellung Ergebnisreport
- Detaillierte Dokumentation der Vorgehensweise und der Befunde
- Risikoanalyse identifizierter Schwachstellen
- Erstellung eines Katalogs priorisierter Maßnahmen
6Ergebnispräsentation
- Ausarbeitung zielgruppenspezifischer Präsentationen
- Erläuterung des Audits und der Befunde
- Erläuterung und Diskussion der Maßnahmen
