• Tel.: +49 (0) 64 21/16 49-13

Penetrationstest WEB



asvs-residual-risksWie sicher ist Ihre Software?

Unsichere Geschäftsanwendungen gefährden, wenn sie in öffentliche Netze betrieben werden, Betriebsprozesse oder gar das Unternehmen da die Software und die Systeme auf dem sie laufen, leichte Beute für böswillige Angreifer sind. Es gibt nur einen zuverlässigen Weg, um herauszufinden wie die Gefährdungslage Ihrer Daten und Systeme in Wirklichkeit aussieht:  Sie hacken Ihre eigene Software und schließen die gefundenen Sicherheitslücken.

Professionelle Sicherheitschecks für Web-Applications

Im Grunde handelt es sich um einen Penetrationstest, fokussiert auf das Testen von Webanwendungen. Dieser Pentest wird nach bewährten Verfahren und Standards der Open Source Gemeinde durchgeführt. Diese sind:

  • OWASP Top 10 – Sicherheitsrisiken für Webanwendungen
  • Der Application Security Verification Standard (ASVS) der OWASP (Open Web Application Security Project)
  • Die ISO 27005 oder die OWASP Risk-Rating-Methode für Risikobewertungen

Die standardisierte Ergebnisberichte sind eine unabhängige Referenz für das Sicherheitsniveau der Anwendung und können als Nachweis bei Compliance Checks und Audits genutzt werden. Bei Wiederholung der Tests kann die Wirksamkeit von Maßnahmen leicht überprüft werden.

Die wichtigste Merkmale der Dienstleistung im Überblick

  • Automatisierte Schwachstellenscans
  • Manuelle Code Reviews bei Offline Tests
  • Prüfung aller wichtigen aktuell bekannten Sicherheitsrisiken. Davon u.a.:
    • Schwachstellen bei der Authentifizierung und im Session-Management
    • Unvollständige oder fehlerhafte Zugangskontrollen
    • Falsche Implementierung von kryptografischen Maßnahmen
    • Unvollständige Eingabe- und Ausgabevalidierung (SQL- und Command-Injection, XSS, …)
    • Übertragungssicherheit zu Schnittstellen (abhören, mitschneiden, CSRF, XSRF, …)
    • Fehlkonfiguration von Serverkomponenten
    • Prüfung der Geschäftslogik (Spoofing, Phishing, DOS, einschleusen Schadcode, …)
    • Prüfung der Datenschutzmaßnahmen
    • Schwachstellen beim Fehlermanagement und beim Logging
  • Standardisierte Ergebnisberichte und Maßnahmenkataloge

Ihre Vorteile

  • Katalog mit konkreten Handlungsempfehlungen für die Behandlung von Sicherheitslücken.
  • Nachweis eines externen und unabhängigen Sicherheitschecks.
  • Sicherheit und Datenschutz als Qualitätsmerkmal Ihrer Software

Preise

  • Online Pentest (über das Internet) einer Anwendung, bis zu 25 Eingabemasken.
    Inkl. Vorbereitung und Koordination, Informationsbeschaffung, Scans, manuelle Recherchen und Tests, Ausnutzung von Schwachstellen, Berichterstattung und Risikoeinschätzung, vor Ort Präsentation der Ergebnisse und eine Testwiederholung zur Prüfung von Schwachstellenbeseitigungen.
  • Preise für Offline Tests mit Code Reviews und Schnittstellen bzw. individuell gestaltete Pentests auf Anfrage.