Ist Ihre Web-Anwendung sicher?

Mit unserer WebApp-Analyse schaffen Sie Klarheit!

Hinweise: Dieses Beratungspacket wird durch einen unserer Partnern angeboten

Häufig haben Web-Anwendungen mehrere kritische Schwachstellen, die ein erfahrener Angreifer leicht ausnutzen kann. Mit unserer WebApp-Analyse erhalten Sie eine qualifizierte Untersuchung Ihrer Web-Anwendung auf Schwachstellen. Bei einem klassischen Pentest wird häufig nur die erstbeste Möglichkeit genutzt, um das System zu kompromittieren. Alternative Wege werden so häufig außer Acht gelassen. Wir legen deshalb großen Wert auf eine umfassende Analyse. Der Bericht ist eine Gesamtschau über ALLE vorhandenen Schwachstellen und zeigt Ihnen Wege, diese zu beseitigen, um so das System nachhaltig zu verbessern.

Allgemein

Kontakt

Haben Sie Fragen oder Anregungen? Schicken Sie uns eine E-Mail an info@jsperts.de oder rufen Sie uns unter 06151-8005540 an. Sie können auch gerne unser Anfrage-Formular benutzen.

Ablauf

1) Vorgespräch

In einem Telefonat ermitteln wir Ihre Erwartungen, sowie für den Test relevante Details der Anwendung und erläutern unsere Vorgehensweise.

2) Analyse

Eine gelungene Analyse benötigt eine abgestimmte Planung und optimale Durchführung. Die Analyse führen wir weitestgehend autark durch, nachdem wir mit Ihnen den Zeitraum der Durchführung abgestimmt haben. Unser Vorgehen orientiert sich an dem umfangreichen OWASP Testing Guide. Mindestens so wichtig wie das strukturierte Vorgehen ist jedoch unser Gespür, die Erfahrung und ein feines Näschen, um die oft versteckten Probleme auch wirklich aufzuspüren. All diese Fähigkeiten haben automatisierte Scanner nicht. Deshalb nutzen wir die automatisierten Tools nur zur Unterstützung und zum schnellen Auffinden erster potentieller Angriffspunkte. Dann beginnt unsere eigentliche Arbeit.

Wir führen Untersuchungen unter anderem in folgenden Bereichen durch:

  • Öffentliche Informationen aus Suchmaschinen
  • Serverinfrastruktur, z. B. die Versionen der eingesetzten Komponenten
  • Identitätsmanagement, u. a. welche Rollen existieren in der Anwendung?
  • Authentifizierung, z. B. wie werden die Benutzer-ID übertragen?
  • Autorisierung, u. a. ist es möglich auf Daten anderer Benutzer zu zugreifen?
  • Sitzungsverhalten, u. a. wird eine Sitzung sauber beendet?
  • Eingabevalidierung, z. B. ist es möglich mit Benutzereingaben eigenen Code auszuführen?
  • Fehlerbehandlung, z. B. welche Informationen enthalten die Fehlermeldungen?
  • Kryptographie, z. B. werden schwache Verschlüsselungsverfahren unterstützt?
  • Anwendungslogik, u. a. darf ein Benutzer negative Werte eingeben?
  • Clientseitige Schwachstellen, z. B. werden die Daten lokal gespeichert?

3) Dokumentation

Unser Bericht besteht aus mehreren Abschnitten:

  • Der Management Report enthält eine leicht verständliche Zusammenfassung der Ergebnisse der Analyse inklusive der Aufzählung der „dringendsten Baustellen“. Dieser Abschnitt richtet sich vor allem an Entscheider, IT- und Budget-Verantwortliche.
  • Ein Vergleich zur OWASP-Top10: Hier erfahren Sie auf einen Blick, wie gut ihre Applikation gegen die am häufigsten gefundenen Schwachstellen aufgestellt ist. Denn die Angreifer nutzen gerne immer wieder Schwachstellen vom gleichen Typ, um in Applikationen einzudringen.
  • Der ASVS Report ist eine Auswertung der Web-Applikation anhand des Application Security Verification Standard vom OWASP. Diese Methodik wendet einen ganz anderen Ansatz bei der Analyse der Sicherheit der Web-Anwendung an. Anstatt primär nach Schwachstellen in der Web-Anwendung zu suchen, wird hier die erfolgreiche Umsetzung der Schutzmaßnahmen verifiziert. Die Vergleichbarkeit der Ergebnisse und die Evaluierung der Web-Anwendung stellen aus unserer Sicht die unschlagbaren Vorteile dieser Methodik dar.
  • Ergebnisse der Untersuchungen gemäß des OWASP Testing Guides zusammen mit weiteren applikationsspezifischen Untersuchungen. Bei vorhandenen Schwachstellen führen wir jeweils eine individuelle, transparente und objektive Risikobewertung gemäß der OWASP Risk Rating Methodology durch. Durch die Risikoanalyse der gefundenen Schwachstellen erhalten Sie eine Übersicht, an welcher Stelle der Applikation die am dringendsten zu behebenden Schwachpunkte liegen.

4) Präsentation

Die Ergebnisse der Analyse werden besprochen und die empfohlenen Gegenmaßnahmen gemeinsam diskutiert. Dieser Abschitt kann entweder in einer Telefonkonferenz oder bei Ihnen vor Ort durchgeführt werden.

Anfrage