Tests von Webanwendungen, die ins Internet gestellt werden

Warum ist es sinnvoll, Websites und Internetanwendungen zu testen?

Websites und Anwendungen sind häufig Ziel von Hackerangriffen. Diese können von unlauteren Wettbewerbern, aber auch von enttäuschten Partnern oder Mitarbeitern in Auftrag gegeben oder sogar „aus Spaß” von jugendlichen IT-Enthusiasten durchgeführt werden, die sich der Folgen ihrer Handlungen nicht bewusst sind.

 

Unabhängig davon, ob Sie individuelle Lösungen oder Open-Source-Systeme verwenden, hängt deren Sicherheit auch von Ihnen ab.

 

Wenn die Website oder Anwendung in ein internes System, z. B. ERP, integriert ist, besteht ein zusätzliches Risiko durch Datenverlust, Verlust von Know-how und Infizierung des LAN-Netzwerks und anderer Systeme sowie der darin befindlichen Computer oder Geräte.

Was erhalte ich nach den Tests?
Nach den Tests erhalten Sie einen Bericht mit den identifizierten Bereichen, in denen die Sicherheit verbessert werden kann. Alle gefundenen Schwachstellen werden mit einem Risikograd (gemäß dem Common Vulnerability Scoring System – CVSS) bewertet und mit den gängigsten Standards (OVAL, CVE) gekennzeichnet. Der Bericht enthält auch eine Liste der Garantieanträge an bestehende Lieferanten, sofern diese identifiziert wurden.
CyberClue lässt Sie mit dem Bericht nicht allein. Wir können Ihnen auch bei der Umsetzung aller notwendigen Korrekturen und Änderungen behilflich sein.

Alle Optionen führen zu Imageverlusten und können darüber hinaus sowohl für Ihr Unternehmen als auch für Ihre Kunden finanzielle Verluste verursachen.

 

  •  Übernahme von Systemen, die mit dem Internet verbunden und an ein LAN angeschlossen sind
  •  Weiteres Eindringen in das interne Netzwerk über solche Systeme
  •  Angriff auf Webanwendungen, die Kunden zur Verfügung stehen
  •  Datendiebstahl

Die Tests werden von zertifizierten CyberClue-Spezialisten durchgeführt und bestehen darin, einen kontrollierten, für den Kunden sicheren, aber realistischen Angriff auf eine Website oder Webanwendung zu simulieren. Ziel ist es, deren Sicherheitsniveau zu bestimmen, Schwachstellen (Lücken, die von Cyberkriminellen ausgenutzt werden können) aufzudecken und Korrekturmaßnahmen zur Erhöhung der Sicherheit festzulegen.

 

Der Umfang, der genaue Zeitpunkt und die zulässigen Maßnahmen werden mit dem Kunden ausführlich besprochen und festgelegt, um die Kontinuität der Geschäftsabläufe und die Sicherheit während des gesamten Prozesses zu gewährleisten.

 

Wir führen die Tests auf der Grundlage verschiedener Methoden von OWASP, OSSTMM und NIST durch, die um von unseren Experten entwickelte Elemente erweitert wurden.

Die Sicherheitsprüfungen von Websites und Anwendungen, die ins Internet gestellt werden, umfassen je nach Bedarf:

  •  Überprüfung der Konfiguration des Webservers
  •  Überprüfung des Quellcodes
  •  Überprüfung der Sicherheit von CMS-Systemen Anwendung der Google-Hacking-Technik
  •  Überprüfung der Konfiguration des Webservers: zurückgegebene Header, verwendete Technologien einschließlich Versionen, verfügbare Verzeichnisse
  •  Versuche zur Enumeration und zum Knacken der Sicherheitsvorkehrungen von Benutzerkonten – Untersuchung der Zufälligkeit von Sitzungs-IDs, Versuch zur Erkennung der Syntax der Benennung von Sitzungscookies, Überprüfung der Sicherheit der Struktur des Anmeldeformulars
  •  Überprüfung des SSL/TLS-Sicherheitsniveaus
  •  Erkennung von Anwendungsfehlern (SQL, XSS, CSFR)
  •  Versuch der Ausführung von Schadcode auf dem Server
  •  Versuch des Datendiebstahls
  •  Überprüfung der Möglichkeit des Zugriffs auf wichtige Daten ohne Verschlüsselung
  •  Überprüfung der Möglichkeit des Zugriffs auf die Quellcodes der verwendeten Software
  •  Überprüfung der Möglichkeit des unkontrollierten Zugriffs auf Dateien und Verzeichnisse (Path Traversal/LFI)
  •  Überprüfung auf offene Weiterleitungen (Open Redirection)
  •  Überprüfung der Möglichkeit, externe Dateien über eine URL einzuschleusen und zu öffnen (File Inclusion)
  • Überprüfung auf Response Splitting-Schwachstellen
Arten der durchgeführten Tests:
Galicja (18)

1.

Blackbox
Galicja (19)

2.

Greybox
Galicja (28)

3.

Whitebox

Penetrationstests für Webanwendungen:

 1.Planung und Vorbereitung in Absprache mit dem Kunden (Einholung von Genehmigungen und Festlegung kritischer Ressourcen)

2. Rekonnaissance

  •  Passive Informationsbeschaffun
  • Aktives Scannen
  •  Analyse öffentlich zugänglicher Code-Repositorys und Subdomains

3. Analyse des App-Codes*
4. API-Tests im Hinblick auf OWASP API Security Top 10
5. Überprüfung der Anwendung auf Konfigurations- und Sicherheitsfehler
6. Manuelle Überprüfung jeder erkannten Schwachstelle
7. Analyse und Berichterstattung (Der Bericht mit der Zusammenfassung kann in polnischer, englischer oder deutscher Sprache geliefert werden)

Als zusätzliche Dienstleistungen können wir Folgendes anbieten:
  •  Unterstützung bei der Behebung von Sicherheitslücken
  •  Erneute Prüfung nach Behebung der Lücken durch den Kunden
  •  Der Bericht kann einer zusätzlichen Überprüfung durch einen zweiten Auditor unterzogen werden

* Bei Whitebox-Tests

 
Standards:
  •  OWASP ASVS
  •  OWASP WSTG
  •  OWASP MSTG
  •  OWASP MASVS

Penetrationstests für Webanwendungen – Beispielumfang*

  •  Identifizierung der Softwareversion und -aktualität
  •  Überprüfung der Schwachstellen-Repositorys zur Verifizierung der Existenz von Schwachstellen für identifizierte Softwareversionen
  •  Überprüfung der Anwendbarkeit von Anwendungskomponenten
  •  Verifizierung der verwendeten Authentifizierungs-/Autorisierungsmechanismen
  •  Analyse der Anwendungslogik im Hinblick auf Sicherheit (Vertraulichkeit, Integrität, Verfügbarkeit)​
  •  Überprüfung der Sicherheitsvorkehrungen des Anmeldebereichs gegen unbefugten Zugriff oder Versuche, mit Benutzerkonten mit geringeren Berechtigungen Zugriff auf den Administrationsbereich zu erlangen​
  •  Versuch typischer Angriffe auf Webanwendungen und Webdienste (OWASP TOP 10) ​
  •  Überprüfung der Sicherheit der Anwendungsklentsitzungen.
  •  Analyse der Passwortrichtlinien in der Anwendung und Analyse der Authentifizierungsmethoden.
  •  Versuch, Authentifizierungsmechanismen zu umgehen.
  •  Versuch, Autorisierungsmechanismen zu umgehen.
  •  Versuch, die Sitzung eines authentifizierten Benutzers zu übernehmen.
  •  Versuch, Berechtigungen innerhalb der Anwendung zu eskalieren.
  •  Versuch, direkten Zugriff auf die Hosting-Infrastruktur (Containerisierung, Betriebssystem, Datenbank und andere mit der Anwendung verbundene Komponenten) zu erhalten.
  •  Analyse der von der Anwendung verwendeten Verschlüsselung der übertragenen Daten hinsichtlich der verfügbaren/verwendeten Algorithmen.
  •  Analyse der HTTP-Header hinsichtlich der Sicherheit.
    Untersuchung der Schutzmechanismen gegen die Einführung von Schadcode.
  •  Analyse des Mechanismus zur Behandlung von Anwendungsfehlern hinsichtlich der Offenlegung von Informationen.
  •  Überprüfung der Mechanismen zur Validierung von Eingabedaten.
  •  Überprüfung der Mechanismen zum Schutz von Daten.
  •  Überprüfung der Mechanismen zum Schutz von Dateiressourcen: Überprüfung der Möglichkeit, Dateien auf Anwendungsservern zu ersetzen.

* Grundlegender, empfohlener Umfang. Der detaillierte Umfang wird individuell entsprechend den Anforderungen und Merkmalen der Organisation festgelegt.

Penetrationstests für mobile Anwendungen – Beispielumfang*

  •  Reverse Engineering und Dekompilierung des Codes
  •  Identifizierung der Softwareversion und Aktualität
    Sicherheit der lokalen Datenspeicherung Überprüfung von Schwachstellen-Repositorys zur Verifizierung der Existenz von Schwachstellen für identifizierte Softwareversionen
  •  Überprüfung der Schwachstellen von Anwendungskomponenten
  •  Überprüfung der verwendeten Authentifizierungs-/Autorisierungsmechanismen
  •  Analyse der Anwendungslogik im Hinblick auf Sicherheit (Vertraulichkeit, Integrität, Verfügbarkeit)
  •  Überprüfung der Sicherheitsvorkehrungen des Anmeldepanels gegen unbefugten Zugriff oder Versuche, mit Benutzerkonten mit geringeren Berechtigungen Zugriff auf das Administrationspanel zu erlangen.
  •  Versuch typischer Angriffe auf mobile Anwendungen (OWASP Mobile TOP 10).
  •  Überprüfung der Sicherheit der Anwendungskundensitzungen.
  •  Analyse der Passwortrichtlinien in der Anwendung und Analyse der Authentifizierungsmethoden.
  •  Versuche, Authentifizierungs- und Autorisierungsmechanismen zu umgehen.
  •  Versuche, die Sitzung eines authentifizierten Benutzers zu übernehmen.
  •  Versuche, Berechtigungen innerhalb der Anwendung zu eskalieren.
  •  Versuche, direkten Zugriff auf die Hosting-Infrastruktur (Containerisierung, Betriebssystem, Datenbank und andere mit der Anwendung verbundene Komponenten) zu erlangen.
  •  Analyse der von der Anwendung verwendeten Verschlüsselung der übertragenen Daten im Hinblick auf verfügbare/verwendete Algorithmen.
  •  Analyse der HTTP-Header im Hinblick auf die Sicherheit.
  •  Untersuchung der Schutzmechanismen gegen die Einführung von bösartigem Code.
  •  Analyse des Mechanismus zur Behandlung von Anwendungsfehlern im Hinblick auf die Offenlegung von Informationen.
  •  Überprüfung der Mechanismen zur Validierung von Eingabedaten.
  •  Überprüfung der Mechanismen zum Schutz von Daten.
  •  Überprüfung der Mechanismen zum Schutz von Dateiressourcen: Überprüfung der Möglichkeit, Dateien auf Anwendungsservern zu ersetzen.

* Grundlegender, empfohlener Umfang. Der detaillierte Umfang wird individuell entsprechend den Bedürfnissen und Merkmalen der Organisation festgelegt.