Pen-Test

Web Application Security Test

Pallas prüft Webanwendungen auf Schwachstellen und Lücken

Beim Sicherheitstest von Webapplikationen werden spezielle Methoden und Werkzeuge zur Simulation von Angriffsszenarien eingesetzt, um potentiell gefährliche Lücken von Webanwendungen aufzudecken. Pallas setzt dabei führende Werkzeuge ein.

Sicherheitslücken sind gefährlich

Sicherheitslücken in Webanwendungen eröffnen den Cyberkriminellen viele Möglichkeiten, erheblichen Schaden anzurichten. Höchste Brisanz ergibt sich, wenn sensible Daten ausgespäht werden, z.B. Betriebsgeheimnisse, Firmen-Know-how, Daten mit Personenbezug oder Passwörter und Banking-Informationen. Hieraus resultieren sowohl direkte finanzielle Verluste wie auch indirekte Beeinträchtigungen durch Beschädigung der Reputation. Verlust der Reputation bewirkt der Eindringling auch durch Platzierung von fremden, abträglichen Inhalten auf Unternehmenswebseiten. Und schließlich sind Weblücken Einfallstore für alle Malware-Kriminellen, die deshalb das Web inzwischen auch als Hauptinfektionsweg für die Virenverbreitung nutzen.

Schwachstellen in Webapplikationen

Cross-Site Scripting (XSS) und SQL-Injection (SQLi) bilden die häufigsten und gefährlichsten Schwachstellen von Webanwendungen. Aber auch das unerlaubte Auslesen von Dateien und ganzen Verzeichnissen durch Directory Traversal, durch fehlerhafte Einstellungen des Webservers, Fehler in AJAX-basierten WEB 2.0-Anwendungen oder Google Hacking eröffnet Hackern eine breite Angriffsfläche. Komplexe Programme können noch zahlreiche weitere Schwachstellen aufweisen. Hinzu kommen die Schwachstellen, die der Webserver selbst aufweist.

Vorgehen beim Web Application Security Test

Bei einem Web Application Security Test wird typischerweise in den folgenden Schritten vorgegangen:

  1. Sichtung der Webanwendung, Testeinrichtung
  2. Automatisierte, betreute Überprüfung ohne Anmeldungsdaten
  3. Automatisierte, betreute Überprüfung mit Anmeldungsdaten
  4. Manuelle Nachprüfung, Validierung und Bewertung
  5. Aufbereitung in Reportform und Präsentation der Ergebnisse

Code-Optimierung

Darüber hinaus kann Pallas die Webanwendung nach Architektur, Design und Code im Hinblick auf sicherheitskritische Implementierungen untersuchen. Das entsprechende Wissen und die konkreten Erkenntnisse können in Entwicklerworkshops für Maßnahmenempfehlungen herangezogen werden und so die künftige Verminderung und möglichst Vermeidung von Sicherheitsrisiken bewirken.

Infrastruktur

Mit einem Penetrationstest überprüft ein Security-Experte von Pallas die Sicherheit von IT-Systemen

Beim Pentest nimmt der Security-Experte ("Ethical Hacker") von Pallas die Position eines Angreifers ein, um Möglichkeiten aufzudecken, unautorisiert in ein IT-System einzudringen. Pentests werden von Pallas-Experten in Absprache mit dem Kunden durchgeführt.

Vorgehen beim Pentest

Meist werden in Anlehnung an das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgeschlagene Vorgehen die folgenden Schritte durchgeführt:

  • Zielsetzung und allgemeine Vorbereitung
  • Informationsbeschaffung zum geprüften System nebst Bewertung
  • Aktive Eindringversuche
  • Ergebnisbewertung und Bericht mit Empfehlungen

Werkzeuge

Wichtiger Bestandteil eines Pentests sind Werkzeuge, die Angriffsmuster nachbilden oder Schwachstellen abprüfen. Dabei kommen insbesondere automatische Schwachstellenscanner zum Einsatz, z.B. der Scanner PASA von Pallas.