Zum Inhalt springen

Web Application Security

Web-Pentest

Pentests für Webanwendungen und Hintergrundsysteme

Sind Webanwendungen und Hintergrundsysteme nicht ausreichend geschützt, drohen sie zum Ziel potenzieller Hackerangriffe zu werden. Diese gefährden sensible Kundendaten und interne Unternehmensnetzwerke. Mithilfe bedarfsgerechter Penetrationstests (Pentests) unterstützen wir Sie dabei, Ihre Webanwendungen und Hintergrundsysteme bestmöglich gegen Cyberattacken und Daten­dieb­stähle abzusichern.

Individuelles Angebot anfordern
Ein Mann sitz an einem Schreibtisch mit zwei Bildschirmen und analysiert Daten.

Bestmöglicher Schutz Ihrer Webanwendung

Durch Penetrationstests decken wir Schwachstellen und potenzielle Sicherheitslücken Ihrer Webanwendung und Ihres Hintergrundsystems auf, bevor es andere tun.

Prüfung auf System- und Netzwerkebene

Mittels Port- & Schwachstellenscans überprüfen wir ebenso die Sicherheit des zugrundeliegenden Backendsystems (Webserver) der Webanwendung.

Dokumentation & Handlungsempfehlungen

Alle Ergebnisse erhalten Sie in Form eines ausführlichen und aussagekräftigen Prüfberichts, inklusive passender Handlungsempfehlungen zur Behebung von Schwachstellen.

Was ist ein Web-Pentest?

Ein Web-Pentest (Web Application Penetration Testing) ist eine IT-Sicherheitsmaßnahme, mit der die Sicherheit von Webanwendungen überprüft wird.

Ziel ist es, bestehende Sicherheitslücken und mögliche Angriffspunkte in der Webanwendung aufzudecken und die Sicherheit der Webapplikation auf diese Weise zu erhöhen. Eingesetzt werden Methoden und Mittel, die auch echte Angreifer:innen verwenden würden.

Ihre Vorteile auf einen Blick

Penetrationstests für sichere Webanwendungen

Sichere Webanwendungen sind essenziell, um sensible Daten zu schützen und geschäftskritische Prozesse abzusichern. Penetrationstests decken gezielt Schwachstellen auf und helfen so, Sicherheitsrisiken frühzeitig zu minimieren.

  • Angreifern einen Schritt voraus
    Pentests identifizieren Sicherheitslücken & Schwachstellen, bevor Kriminelle diese für ihre Zwecke nutzen können.
  • Pentests auf Basis anerkannter Standards
    Unsere Expert:innen prüfen die Sicherheit Ihrer Webanwendung nach anerkannten Standards & Richtlinien.
  • Sicherheit auf allen Webanwendungs-Ebenen
    Neben dem Frontend überprüfen unsere Expert:innen auch die Sicherheit des Backendsystems (Webserver).
  • Kontinuierliche Verbesserung
    Mithilfe von Penetrationstests decken Sie Verbesserungspotenziale Ihrer Webanwendung auf.
  • IT-Sicherheit erhöhen, Risiken mindern
    Pentests helfen Ihnen dabei, die Sicherheit Ihrer Webanwendung zu verbessern & Angriffsrisiken zu senken.
  • Vertrauen bei Kunden & Geschäftspartnern
    Eine unabhängige Sicherheitsanalyse Ihrer Webanwendung stärkt das Vertrauen bei Ihren Kunden & Geschäftspartnern.
  • Konzentration auf Ihr Tagesgeschäft
    Fokussieren Sie sich auf Ihr Business, während unsere Expert:innen Ihre Anwendung unter die Lupe nehmen.
  • Schutz vor finanziellen & Reputationsschäden
    Prävention statt Rehabilitation: Durch Pentests beugen Sie Angriffen – und damit einhergehenden Schäden – vor.

Ablauf eines Pentests gegen eine Webanwendung

1

Vorbereitung & Kickoff

Klärung technischer & orga­ni­sa­to­rischer Besonderheiten sowie der Voraussetzungen.

2

Informationsbeschaffung & Analyse

Ermittlung grundlegender Informationen über den Prüfgegenstand.

3

Durchführung Penetrationstests

Untersuchung der ausgewählten Webanwendung auf Basis der gesammelten Informationen.

4

Abschlussbericht

Zusammenfassung aller Ergebnisse der Prüfung in Form eines Abschluss­berichts.

5

Optional: Re-Test

Prüfung, ob die durchgeführten Verbesserungs- & Abwehrmaßnahmen (wirksam) greifen.

Wir helfen Ihnen weiter - so oder so

Endlich loslegen!

Wir beraten Sie


TÜV NORD IT Secure Communication I Berlin
Ziel erreicht?

Wir prüfen das


TÜV Informationstechnik I Essen

Das wird untersucht

Im Rahmen von Penetrationstests (inkl. Backendsysteme, Webservices & APIs) wird die jeweilige Webanwendung auf die kritischsten bzw. am häufigsten ausgenutzten Sicherheitsrisiken hin untersucht.

Zugriffskontrolle (Autorisierung) / Mandantentrennung: Werden Zugriffsrechte für authentifizierte Nutzer nicht korrekt umgesetzt, können Angreifer u. U. auf Funktionen oder Daten anderer Nutzer zugreifen. Hierzu zählen auch mandantenübergreifende Zugriffe.

Ein- & Ausgabevalidierung: Werden Benutzer-Eingabedaten nicht ausreichend validiert, können Injection-Schwachstellen (z. B. Cross-Site Scripting (XSS), XML External Entities (XXE), SQL-Injection,) u.a. zu Datenverlust, -verfälschung oder Systemübernahme (Remote-Code-Execution) führen. Durch gezielte Injection-Angriffe wird versucht Schadcode in die Anwendung einzuschleusen.

Sicherheitsrelevante Fehlkonfiguration / Härtung: Durch Nutzung von Komponenten mit bekannten Schwachstellen, Standard-Konten, ungenutzte (Beispiel-, Test-)Seiten oder Fehlkonfigurationen etc. kann es möglich sein, unerlaubten Zugriff auf sensible Informationen oder das zugrundeliegende System (Web Server) zu erlangen.

Herausgabe sicherheitsrelevanter Informationen (Information Gathering/ Disclosure): Webseiten und Rückantworten von Webanwendungen und Web-Services können sicherheitsrelevante Informationen beinhalten (z.B. Versions­angaben), mit deren Hilfe Angreifer Sicherheitsmechanismen umgehen und Schwachstellen ausnutzen können.

Untersuchungen auf Netzwerkebene: Beim Penetrationstest ist eine Überprüfung auf Netzwerkebene des Webservers der Webanwendung (eine IP-Adresse) inklusive. Es werden Portscans, eine Überprüfung der SSL/TLS Konfiguration sowie Schwachstellenscans durchgeführt.

Authentifizierung / Session Management: Durch Fehler in der Authentisierung und dem Session Management können Angreifer ggf. die Identität anderer Nutzer übernehmen, bspw. mittels Bruteforce Angriffen, schwacher Sitzungs-IDs oder dem Einsatz unsicherer Passwörter.

Datensicherheit: Es muss sichergestellt werden, dass die Webanwendung so konfiguriert wird, dass Zugriffe ausschließlich über die vorgesehenen, abgesicherten/verschlüsselten Kommunikationspfade möglich sind. Der Zugriff auf nicht benötigte Ressourcen und Funktionen ist daher einzuschränken (z. B. mittels Cookie-Flags, HTTP Security Header).

Geschäfts-/Anwendungslogik: Bei mehrstufigen abgebildeten Geschäftsprozessen muss darauf geachtet werden, dass die umgesetzte Anwendungslogik nicht missbräuchlich verwendet werden kann (z. B. Ausbruch aus einem vorgesehenen Registrierungsprozess).

Kryptografie / SSL und TLS: Liegen Schwachstellen in der SSL/TLS-Konfiguration vor, steigt die Wahrscheinlichkeit, dass potenzielle Angreifer übertragene Daten mitlesen (Vertraulichkeit), manipulieren (Integrität) sowie sich unbefugt als legitime Vertrauensperson/Dienst ausgeben können (Authentizität) und auf diese Weise z.B. erfolgreich Man-in-the-Middle-Angriffe durchführen.

Datenschutz: Neben technischen Überprüfungen kann die Webanwendung (inkl. Hintergrundsystem) auch auf datenschutzrechtliche Aspekte überprüft werden, z. B. Umsetzung Privacy by Design, Erfüllung Datenschutzgrundsätze etc.

Häufig gestellte Fragen (FAQ)

Was Sie über Web-Pentests wissen müssen

Der Prüfbericht wird von unseren Expertinnen und Experten immer individuell und leicht verständlich erstellt (keine automatische Generierung) und enthält mindestens folgende Informationen:

  • Einleitung: Kurzbeschreibung des Prüfgegenstandes, Ziel des Pentests sowie Dokumentation von Besonderheiten während der Untersuchung.
  • Management/Executive Summary: Zusammenfassung der Ergebnisse und Einschätzung des allgemeinen Sicherheitsniveaus.
  • Risikobewertung: Zuweisung eines Risikograds zu jeder Schwachstelle (Informativ, Niedriges-, Mittleres-, Hohes- oder Kritisches-Risiko), mit dem die Kritikalität der jeweiligen Schwachstelle beschrieben wird.
  • Übersichtliche Darstellung: Übersichtliche Darstellung aller ermittelten Schwachstellen in einer Tabelle sowie in einem Risikostrahl, der die Anzahl der Schwachstellen pro Risikograd darstellt.
  • Detaillierte Beschreibung der Schwachstellen & Proof-of-Concept: Zu jeder Schwachstelle gibt es eine individuelle Beschreibung, die genau wiedergibt, wie die Schwachstelle gefunden wurde und wie diese durch einen Angreifer ausgenutzt werden kann (Proof-of-Concept).
  • Auswertung automatisierter Tests: Die Ergebnisse der automatisierten Tests werden von den TÜVIT-Sicherheitsexpert:innen ausgewertet, auf false/positive geprüft und anschließend im Bericht zusammengefasst.
  • Maßnahmenempfehlung zur Behebung der Schwachstelle: Zu jeder Schwachstelle gibt es eine Maßnahmenempfehlung zur Beseitigung der Schwachstelle.
  • Referenzen: Sofern vorhanden geben wir Referenzen auf Schwachstellendatenbanken (z. B. CVE) an.
  • Technische Anhänge: Sofern vorhanden werden weitere Informationen und Dateien zu den durchgeführten Tests als Anhang bereitgestellt, bspw. die Roh-Ergebnisse der Port- und Schwachstellenscans.

  • Black-Box
    Pentest ohne Zusatzinformationen
  • Grey-Box (Standard)
    Pentest mit Zusatzinformationen, bspw. Testzugangsdaten und (API-) Dokumentationen
  • White-Box
    Pentest mit weiteren Zusatzinformationen, neben Testzugangsdaten bspw. Architektur-/Designdokumente, Kommunikationsmatrix oder Quellcode

Die Vorgehensweise der TÜVIT-Sicherheitsexpert:innen orientiert sich an dem OWASP Application Security Verification Standard (ASVS), der grundlegende Sicherheitsanforderungen für Webanwendungen und Hintergrundsysteme beschreibt sowie dem OWASP Web Security Testing Guide (WSTG), der darstellt, wie die Anforderungen aus dem ASVS überprüft werden können. Des Weiteren werden die OWASP Top 10 Schwachstellen für Webanwendungen sowie das Durchführungskonzept für Penetrationstests vom BSI berücksichtigt und zuletzt der OWASP Nest Practices Ansatz

Die Kosten hängen von der Komplexität des Prüfgegenstandes ab. Ein Spot Check bewegt sich im unteren bis mittleren vierstelligen Bereich. Für eine genaue Preisindikation benötigen wir weitere Informationen zu Ihrer Webanwendung und Ihrem Hintergrundsystem. 

Die Testdauer hängt von der gewählten Untersuchungsart (Level 1 bis 3) ab, siehe oben. Abweichend vom Testzeitraum wird ein Zeitraum von mindestens 1 Woche beim Spot Check (Level 1) bzw. mindestens 2 Wochen beim Regular (Level 2) und Advanced (Level 3) Pentest angenommen.

Warum wir ein starker Partner für Sie sind

Gute Gründe, die für uns sprechen

Optimal abgesichert

Drei Anwendungsgebiete - drei Pentests

Ob Sicherheitsrisiken in Webanwendungen, mobilen Apps oder in IT-Infrastruktur: Mit dem passenden Pentestverfahren sind Sie auf der sicheren Seite.