Anwendungssicherheit

Standardpenetrationstest

01
Grösse des Testberichtes:
3-10 Seiten
Testzeit:
3-4 Tagen

Das Ziel des Standardpenetrationstests ist die Entdeckung der größten Anzahl kritischer Sicherheitslückenin Webapplikationen oder Webservern während einer dreitägigen Periode, sowie die Identifizierung ihrer Ausnutzungsmöglichkeiten und nach Möglichkeit auch die Erzielung des priveligierten Datenzugriffs.

Der Test besteht aus folgenden Schritten:

  • Informationen sammeln  – alle Informationen über das Zielsystem werden gesammelt, identifiziert und analysiert (einschließlich der Version des Webservers, benutzten Modulen, Programmierplattformen, WAF und Eingabepunkten in die Applikation)
  • Nummerierung und Mappen der Sicherheitslücken – durch intrusive Methoden und Prozeduren (speziell erstellte HTTP-Anforderungen) sind potenzionelle Systemschwächen identifiziert (sowohl die Benutzung der Sicherheitsscanner, „fault-injection proxies“, als auch die manuelle Überprüfung)
  • Ausnutzen der Sicherheitslücken – Versuch um den Datenzugriff durch Sicherheitslückenzu erzielen, die im vorangehenden Schritt identifiziert worden waren. Das Ziel ist einen Datenzugriff mit höchsten Privilegien für die Applikation oder das Betriebssystem zu gewinnen (Benutzung der speziellen „exploit“-Skripte).

Eigenschaften:

  • Entdeckt ernste Web-Sicherheitslücken (SQL LDAP injection, XSS CSRF, Bufferüberlauf, Sicherheitsfehler in der Businesslogik, Authentifizierungsumgehungen, lokale Einbettung der Dateien)
  • Aufgrund der manuellen Überprüfung liefert der Test sehr gute Ergebnisse, bei dem automatische Sicherheitsscanner nicht erfolgreich waren.
  • Testergebnis ist ein technischer Bericht mit Management Summary, in der alle entdeckten Sicherheitslückenmit ihrem Risikorang, sowie Beseitigungsvorschlägen zusammengefasst sind.