Applikationen
Web-Applikationen
Ob Homepage, Web-Shop oder vollumfängliche Anwendung – Webseiten sind bei Nutzern beliebt, jedoch auch bei Angreifern. Testen Sie Ihren Webauftritt auf Schwachstellen.
Prüfumfang des Pentests
Bei diesem Penetrationstest untersuchen unsere Ethical Hacker Ihre Web-Applikation auf Sicherheitsschwachstellen und Konfigurationsfehler.
Der Test kann bei Ihnen vor Ort oder von Remote aus stattfinden.
Beispielhafte Prüfobjekte:
Webseiten
Webauftritte ohne oder mit eingeschränkter Nutzerinteraktion (z.B. Blogs, WordPress oder ähnliche CMS Systeme)
Web-Shops
eCommerce Anwendungen mit Produkten, Zahlungsvorgängen und Nutzerlogin
APIs
REST/SOAP APIs für mobile Anwendungen, Schnittstellen für Dritte
Eigenentwicklungen
mit Frameworks (z.B. ASP.NET, AngularJS) oder aufbauend auf bestimmte Technologien (z.B. NodeJS, Python)
Drittanwendungen
Anwendungen externer Hersteller, die Sie in Ihrem Netzwerk nutzen und auf Ihre Sicherheit testen wollen (z.B. Source Code Server, Webmail)
Intranet-Anwendungen
Webanwendungen im internen Firmennetzwerk. Entweder selbst entwickelt oder als Dienstleistung eingekauft.
39%
In 39% der Fälle ist Angreifern unauthorisierter Applikationszugriff möglich. ¹
16% aller Systeme können vollständig kompromittiert werden. ¹
68%
Der Verlust von vertraulichen Daten ist ein Risiko für 68% aller Webanwendungen. ¹
Penetrationstest von Web-Applikationen
Unser Vorgehen
Der hier vorgestellte Pentest beinhaltet eine umfassende Sicherheitsanalyse Ihrer Webseiten oder Webanwendungen auf Netzwerk- und Anwendungsebene. Ebenfalls ist er auf eine von Ihnen definierte IP-Adresse oder Domäne begrenzt. Der Pentest kann sich hierbei sowohl auf eine intern als auch extern erreichbare Webanwendung fokussieren.
Alle Tests auf Netzwerkebene beinhalten einen automatisierten Schwachstellenscan sowie eine manuelle Analyse aller vom Anwendungsserver bereitgestellten Netzwerkdienste. Hierbei wird die Perspektive eines externen Angreifers betrachtet (black-box). Die Tests auf Anwendungsebene hingegen werden mit einem semi-manuellen Ansatz, mit und ohne gültige Nutzerzugangsdaten (grey-box) ausgeführt. Bei der Durchführung unserer Penetrationstests orientieren wir uns an den bewährten Testvorgaben von OWASP und OSSTMM.
Jede Webanwendung ist individuell und wird von uns mit allen Tools und Tricks realer Angreifer auf Sicherheitslücken analysiert. Dies können selbst entwickelte Webanwendungen, Frameworks oder von Ihnen eingekaufte Softwarelösungen sein. Während eines Penetrationstests überprüfen wir den gesamten Umfang, beginnend vom Server bis hin zur Anwendung.
Vor allem in der heutigen, vernetzten Welt spielt hierbei die Sicherheit auf Anwendungs- und Netzwerkebene eine essenzielle Rolle. Sollten Sie bei uns einen Penetrationstest Ihrer Webanwendung beauftragen, untersuchen wir Ihre Anwendung und die zugrundeliegende Infrastruktur auf bislang unbekannte Schwachstellen.
Testarten
Black-Box
Test als externer Angreifer ohne Zusatzinformationen
Grey-Box
Test mit validen Zugangsdaten und ggf. einer Dokumentation
White-Box
Test mit Zugangsdaten und Einsicht in den Quellcode
Standards und Qualifikationen
Wir berücksichtigen bei unseren Pentests alle internationalen und anerkannten Standards.
Unsere Penetrationstester sind hochqualifiziert und besitzen eine Vielzahl anerkannter Hacking-Zertifikate.
