Anwendungssicherheit

Grundpenetrationstest

01
Geeignet für:
  • kleine und einfache Webapplikationen und Webseiten der Kleinkunden
  • regelmäßiges automatisiertes Testen (mit dem Ziel neue Sicherheitslücken und fehlende Sicherheitspatches entdecken zu können
Grösse des Testberichtes:
1-10 Seiten
Testzeit:
1 Tag (Ferntest)

Das Ziel des Standardpenetrationstests ist die Entdeckung der größtmőglichen Anzahl kritischer Sicherheitslücken in der Webapplikation oder dem Webserver während eines Tages.

Der Test wird mittels spezialisierten kommerziellen Werkzeugen und OpenSource Werkzeugen durchgeführt (die Mehrheit finden Sie hier).

Die Existenz der hochkritischen Sicherheitslücken wird manuell überprüft.

Wir benutzen die bewährten Werkzeuge für Tests, betreffend der Sicherheitslücken von Webapplikationen und Servern, mit unserer langjährigen Erfahrung auf dem Gebiet der Sicherheit von Webapplikationen.

Der Test besteht aus folgenden Schritten:

  • Informationen sammeln – alle Informationen über das Zielsystem werden gesammelt, identifiziert und analysiert, einschließlich der Version des Webservers, benutzter Module, Programmierplattformen, WAF und Eingabepunkte in die Applikation
  • Nummerierung und Zuordnung der Sicherheitslücken – durch intrusive Methoden und Prozeduren (speziell erstellte HTTP-Anforderungen) sind potenzielle Systemschwächen identifiziert (sowohl Benutzung der Sicherheitsscanner, „fault-injection proxies“ als auch manuelle Überprüfung)
  • Manuelle Beglaubigung der hochkritischen Sicherheitslücken (mit dem Ziel, falschen Alarmen vorzubeugen)

Eigenschaften:

  • Es entdeckt ernste Web-Sicherheitslücken (SQL LDAP injection, XSS CSRF, Bufferüberlauf, usw.), die durch vollautomatische Verfahren entdeckt werden können.
  • Für detailierte Tiefentests, die auch eine manuelle Beglaubigung beinhalten, empfehlen wir die Durchführung unseres Standardpenetrationstests oderausführliche Sicherheitsaudits der Webapplikation, die auch eine praktische Demonstration des Missbrauchs von entdeckten Sicherheitslücken beinhalten (Exploitermittlung, Datenbankdump, CSRF/XSS Mißbrauch usw.), sowie ein eintägiges Treffen mit Applikationsentwicklern und dem kompletten Sicherheitstest der Applikation nachOWASP Handbuch umfassen.