Nachrichten Details

Managed Security ServiceSecure HostingSecure Consultingcover

Web Application Testing auf Sicherheitslücken

Pallas prüft Webanwendungen auf Schwachstellen und Lücken

Sicherheitslücken in Webanwendungen eröffnen den Cyberkriminellen viele Möglichkeiten, erheblichen Schaden anzurichten. Höchste Brisanz ergibt sich, wenn sensible Daten ausgespäht werden, z.B. Betriebsgeheimnisse, Firmen-Know-how, Daten mit Personenbezug oder Passwörter und Banking-Informationen. Hieraus resultieren sowohl direkte finanzielle Verluste, wie auch indirekte durch Beschädigung der Reputation. Verlust der Reputation bewirkt der Eindringling auch durch Plazierung von fremden, abträglichen Inhalten auf Unternehmenswebseiten. Und schließlich sind Web-Lücken Einfallstore für alle Malware-Kriminellen, die deshalb das Web inzwischen schon als Hauptinfektionsweg für die Virenverbreitung nutzen.

Cross-Site Scripting (XSS) und SQL-Injection (SQLi) bilden die häufigsten und gefährlichsten Schwachstellen von Webanwendungen. Aber auch das unerlaubte Auslesen von Dateien und Verzeichnissen durch Directory Traversal, durch fehlerhafte Einstellungen des Web-Servers, Fehler in AJAX-basierten WEB 2.0-Anwendungen oder Google Hacking eröffnet Hackern eine breite Angriffsfläche. Komplexe Programme können noch zahlreiche weitere Schwachstellen aufweisen, hinzu kommen die Schwachstellen, die der Webserver selbst aufweist.

Beim Pallas Web Application Testing werden spezielle Methoden und Werkzeuge zur Simulation solcher Angriffsszenarien eingesetzt, um potentiell gefährliche Lücken von Webanwendungen aufzudecken. Pallas setzt dabei führende Werkzeuge ein. Vorgeschaltet ist eine Erst-Sichtung durch Experten. Nach der programmgestützten Simulation werden auffällige Besonderheiten zusätzlich manuell überprüft und das gesamte Ergebnis wird validiert und bewertet.

Darüber hinaus kann Pallas die Webanwendung nach Architektur, Design und Code im Hinblick auf sicherheitskritische Implementierungen untersuchen. Das entsprechende Wissen und die konkreten Erkenntnisse können in Entwicklerworkshops für Maßnahmenempfehlungen herangezogen werden und so die künftige Verminderung und möglichst Vermeidung von Sicherheitsrisiken bewirken.

Beim Web Application Testing wird typischerweise in den folgenden Schritten vorgegangen:

1.) Sichtung der Webanwendung, Testeinrichtung

2.) Automatisierte, betreute Überprüfung ohne Anmeldungsdaten

3.) Automatisierte, betreute Überprüfung mit Anmeldungsdaten

4.) Manuelle Nachprüfung, Validierung und Bewertung

5.) Aufbereitung in Reportform und Präsentation der Ergebnisse


Weitere Informationen:

Pallas GmbH
Stephan Sachweh
Hermülheimer Str. 8a
50321 Brühl
Tel.: 02232-1896-0
Fax: 02232-1896-29
Email: information@pallas.com
Impressum

zurück