Web Application Security Test

Managed Security Service Secure Hosting Secure Consulting cover

Pallas prüft Webanwendungen auf Schwachstellen und Lücken

Beim Sicherheitstest von Webapplikationen werden spezielle Methoden und Werkzeuge zur Simulation von Angriffsszenarien eingesetzt, um potentiell gefährliche Lücken von Webanwendungen aufzudecken. Pallas setzt dabei führende Werkzeuge ein.

Sicherheitslücken sind gefährlich

Sicherheitslücken in Webanwendungen eröffnen den Cyberkriminellen viele Möglichkeiten, erheblichen Schaden anzurichten. Höchste Brisanz ergibt sich, wenn sensible Daten ausgespäht werden, z.B. Betriebsgeheimnisse, Firmen-Know-how, Daten mit Personenbezug oder Passwörter und Banking-Informationen. Hieraus resultieren sowohl direkte finanzielle Verluste wie auch indirekte Beeinträchtigungen durch Beschädigung der Reputation. Verlust der Reputation bewirkt der Eindringling auch durch Platzierung von fremden, abträglichen Inhalten auf Unternehmenswebseiten. Und schließlich sind Weblücken Einfallstore für alle Malware-Kriminellen, die deshalb das Web inzwischen auch als Hauptinfektionsweg für die Virenverbreitung nutzen.

Schwachstellen in Webapplikationen

Cross-Site Scripting (XSS) und SQL-Injection (SQLi) bilden die häufigsten und gefährlichsten Schwachstellen von Webanwendungen. Aber auch das unerlaubte Auslesen von Dateien und ganzen Verzeichnissen durch Directory Traversal, durch fehlerhafte Einstellungen des Webservers, Fehler in AJAX-basierten WEB 2.0-Anwendungen oder Google Hacking eröffnet Hackern eine breite Angriffsfläche. Komplexe Programme können noch zahlreiche weitere Schwachstellen aufweisen. Hinzu kommen die Schwachstellen, die der Webserver selbst aufweist.

Vorgehen beim Web Application Security Test

Bei einem Web Application Security Test wird typischerweise in den folgenden Schritten vorgegangen:

1.) Sichtung der Webanwendung, Testeinrichtung
2.) Automatisierte, betreute Überprüfung ohne Anmeldungsdaten
3.) Automatisierte, betreute Überprüfung mit Anmeldungsdaten
4.) Manuelle Nachprüfung, Validierung und Bewertung
5.) Aufbereitung in Reportform und Präsentation der Ergebnisse

Code-Optimierung

Darüber hinaus kann Pallas die Webanwendung nach Architektur, Design und Code im Hinblick auf sicherheitskritische Implementierungen untersuchen. Das entsprechende Wissen und die konkreten Erkenntnisse können in Entwicklerworkshops für Maßnahmenempfehlungen herangezogen werden und so die künftige Verminderung und möglichst Vermeidung von Sicherheitsrisiken bewirken.