Web Application Security Assessment

Da auf Anwendungsebene häufig kritische Geschäftsprozesse und finanzielle Transaktionen abgewickelt werden, ist diese für Angreifer von besonderem Interesse. Im Internet exponierte Web-Anwendungen unterliegen dabei, aufgrund deren weltweiten Erreichbarkeit, besonderen Gefährdungen. Sie verfügen oftmals über eine direkte Anbindung an interne Systeme (Datenbank des ERP-Systems etc.) und bilden somit auch ein potentielles Einfallstor in das interne Netzwerk.

Bei einem Web Application Security Assessment werden Angriffe auf die Anwendung und innerhalb der Anwendung simuliert. Es wird sowohl das Basissystem (Betriebssystem, Web Server, Content Management System etc.) hinsichtlich vorhandener Schwachstellen analysiert, als auch die Anwendung selbst. Dabei nimmt der Auditor nicht nur die Perspektive externer Angreifer ein. Auch das Fehlverhalten privilegierter und unprivilegierter Benutzer ist in ein solches Assessment einzubeziehen. Beispiele für Angriffsversuche reichen vom Exploiting des Basissystems bis hin zur Datenbankmanipulation mittels Eingabe- und Abfragemasken.

Grundsätzlich erfolgen Web Application Security Assessments mit dem Ansatz einer vollständigen Prüfung. Jedoch ist, abhängig von der Art der Anwendung sowie den relevanten Bedrohungen, auch ein risikobasierter Ansatz möglich (vergleichbar mit einem Penetrationstest). Dabei wird der Fokus auf besonders sicherheitskritische bzw. angriffsgefährdete Bereiche der Anwendung gerichtet, wobei sich der Prüfungsumfang aus dem mit Ihnen vereinbarten Zeitbudget ergibt.

Im Bereich der Web Application Security richten wir uns nach den Vorgaben des international anerkannten Open Web Application Security Project - OWASP.

Als Ergebnis des Assessments erhalten Sie eine fundierte Bewertung Ihrer Applikationssicherheit sowie der Qualität der Programmierung. Wesentlicher Bestandteil des Abschlussberichts ist außerdem ein priorisierter Maßnahmenkatalog, in welchem alle identifizierten Sicherheitsschwachstellen konkreten Lösungen zugeordnet werden.