diamond_full diamond diamond_half diamond_euro search-icon menu chat-icon close-icon envelope-icon smartphone-call-icon

Prüfung

Web Application Security Assessment

Da auf Anwendungsebene häufig kritische Geschäftsprozesse und finanzielle Transaktionen abgewickelt werden, ist diese für Angreifer von besonderem Interesse. Im Internet exponierte Web-Anwendungen unterliegen dabei aufgrund ihrer weltweiten Erreichbarkeit besonderen Gefährdungen. Sie verfügen oftmals über eine direkte Anbindung an interne Systeme (z.B. Datenbank des ERP-Systems etc.) und bilden somit auch ein potentielles Einfallstor in das interne Netzwerk.

placeholder for background/authentication-failed.jpg

Ziel

Identifikation von Schwachstellen in Webanwendungen und Bewertung des Risikos hinsichtlich spezifischer Bedrohungsszenarien


Fragestellung

Wie sicher ist die Webanwendung und was können externe Angreifer bzw. böswillige Benutzer im schlimmsten Falle erreichen?


Scope

Webanwendungen inkl. ihrer Schnittstellen sowie Basis- und Backend-Systeme

Ablauf

Bei einem Web Application Security Assessment (WASA) werden sowohl die Basissysteme (Betriebssysteme, Web Server, Datenbanken etc.) als auch die Anwendung selbst hinsichtlich vorhandener Schwachstellen analysiert. Dabei nimmt der Prüfer nicht nur die Perspektive externer Angreifer ein. Auch das Fehlverhalten privilegierter und unprivilegierter Benutzer wird im Rahmen des Assessments betrachtet. Beispiele für Angriffsversuche reichen vom Durchführen unberechtigter Aktionen, über Exploiting des Basissystems bis hin zur Datenbankmanipulation mittels Eingabe- und Abfragemasken.

Grundsätzlich erfolgt das Assessment mit dem Ansatz einer möglichst umfassenden Prüfung. Abhängig von der Art der Anwendung bzw. des Systems und der relevanten Bedrohungen ist jedoch auch ein risikobasierter Ansatz möglich (vergleichbar mit einem Penetrationstest ). Dabei wird der Fokus auf besonders sicherheitskritische bzw. gefährdete Bereiche gerichtet, wobei sich der Prüfungsumfang aus dem im Vorfeld vereinbarten Zeitbudget ergibt.

Im Bereich der Web Application Security richten wir uns nach den Vorgaben des international anerkannten Open Web Application Security Projects - OWASP.

Bestandteile

Das Web Application Security Assessment umfasst üblicherweise folgende Punkte:

  • Prüfung der Basissysteme (Betriebssysteme, Web Server, Load Balancer etc.)
  • Prüfung der Authentifizierungsmechanismen
  • Prüfung des Session Management
  • Prüfung der verwendeten Backend-Schnittstellen (APIs)
  • Prüfung auf Schwachstellen mit Schwerpunkt OWASP Top Ten
  • Prüfung bezüglich Schwachstellen in der Applikationslogik
  • Erweiterte Angriffe durch Ausnutzen identifizierter Schwachstellen
  • Dokumentation inklusive Risikobewertung und Maßnahmenbeschreibung

Ergebnis

Als Ergebnis des Assessments erhalten Sie einen ausführlichen Abschlussbericht. Abhängig von Art und Umfang des Projekts umfasst der Abschlussbericht folgende Bestandteile:

  • Management Summary mit Zusammenfassung der Ergebnisse und des Sicherheitsniveaus
  • Beschreibung Projektablauf, Zielsetzung, Umfang und Methodik
  • Detaillierte Beschreibung der identifizierten Schwachstellen, um diese nachvollziehen und mögliche Angriffe rekonstruieren zu können (ggf. mit Proof-of-Concept-Implementierungen)
  • Detaillierte Beschreibung des iterativen Vorgehens bei der Ausnutzung verketteter Schwachstellen
  • Risikobewertung der identifizierten Schwachstellen unter Berücksichtigung des IT-Umfelds bzw. des Anwendungskontextes (Risikoeinstufung: niedrig, mittel, hoch, kritisch)
  • Beschreibung von Maßnahmen zur Behebung der Schwachstellen
  • Falls erforderlich auch eine Beschreibung von übergeordneten strategie-, konzept- und prozessbezogenen Maßnahmen oder Optimierungsvorschlägen.

Wie dürfen wir Ihnen helfen?

Rufen Sie uns an oder finden Sie Ihren Ansprechpartner