Sichere eBusiness-Lösungen ...
... komplett aus einer Hand
Druckversion

Audits von Webanwendungen

Webanwendungen und Webservices bieten Kunden, Mitarbeitern und Geschäftspartnern zunehmend einen einfachen Zugriff auf bereit gestellte Geschäftsvorgänge und Daten. Neben dem gewünschten Produktivitätsgewinn sind damit allerdings auch beachtenswerte Sicherheitsrisiken verbunden. Herkömmliche Sicherheitskomponenten wie Perimeter-Firewalls haben ihre Stärken in der Kontrolle auf Netzebene, können aber auf Anwendungsebene bestenfalls offensichtliche und wohlbekannte Angriffe erkennen. Schwachstellen in Webanwendungen können es einem Angreifer ermöglichen, etablierte Schutzmaßnahmen zu umgehen und die von den Webanwendungen bereit gestellten Prozesse und Daten zu manipulieren und so Hintertüren in Unternehmensnetze zu öffnen.

Wir bieten auf das jeweilige Einsatzszenario abgestimmte Penetrationstests, die eine kosteneffiziente und effektive Prüfung der Sicherheit von Webanwendungen gegen Angriffe aus dem Internet ermöglichen. Diese gezielten Einbruchsversuche werden unter möglichst realen Bedingungen mit Methoden, Wissen und Werkzeugen eines potentiellen Angreifers ausgeführt. Dabei können die Prüfungen mit Vorwissen (White-Box-Test) über die zu testenden Systeme / Webanwendungen oder auch ohne jegliche Vorabinformationen (Black-Box-Test) sowie mit und ohne zur Verfügung gestellte Zugangsdaten erfolgen. Für die Sicherheitsprüfungen setzen wir neben spezialisierten, eigenen Werkzeugen auch eine Vielzahl kommerzieller Produkte ein, um eine möglichst umfassende Prüfungstiefe zu erreichen. Deren Ergebnisse werden durch unsere Auditoren verifiziert und ggf. vorhandenen Falschmeldungen beseitigt.

Wir ergänzen unsere automatisierten Prüfungen durch manuelle, weiterführende Prüfungshandlungen mit denen wir auch Sicherheitslücken in komplexen Webanwendungen und Webportalen aufdecken, die im Rahmen von automatisierten Tests nicht erfasst werden. Dazu gehören neben der Prüfung auf verbreitete Angriffsmöglichkeiten insbesondere manuelle Prüfungen der Rollen- und Berechtigungskonzepte, des Session-Managements sowie der Anwendungslogik.

Die unseren Sicherheitsprüfungen von Webwendungen zugrundeliegende Methodik berücksichtigt die diesbezüglichen Empfehlungen des

  • Open Web Application Security Project, u.a.

    • OWASP Top Ten Project
    • OWASP Testing Project

  • Web Application Security Consortium

    • u. a. WASC Threat Classification

  • Bundesamt für Sicherheit in der Informationstechnik (BSI)
  • Open Source Security Testing Methodology Manual

Unsere zielgruppenorientierten Berichte enthalten zu den jeweiligen Feststellungen, deren Risiko im Kontext des jeweiligen Einsatzszenarios bewertet wird, angemessene und nachvollziehbare Maßnahmenempfehlungen zur Beseitigung der identifizierten Schwachstellen.

© 2017 GAI NetConsult GmbH, Am Borsigturm 58, D-13507 Berlin, Letzte Änderung 12.07.2016