Web Application Security
Pentests für Webanwendungen und Hintergrundsysteme
Sind Webanwendungen und Hintergrundsysteme nicht ausreichend geschützt, drohen sie zum Ziel potenzieller Hackerangriffe zu werden. Diese gefährden sensible Kundendaten und interne Unternehmensnetzwerke. Mithilfe bedarfsgerechter Penetrationstests (Pentests) unterstützen wir Sie dabei, Ihre Webanwendungen und Hintergrundsysteme bestmöglich gegen Cyberattacken und Datendiebstähle abzusichern.
Individuelles Angebot anfordernEin Web-Pentest (Web Application Penetration Testing) ist eine IT-Sicherheitsmaßnahme, mit der die Sicherheit von Webanwendungen überprüft wird.
Ziel ist es, bestehende Sicherheitslücken und mögliche Angriffspunkte in der Webanwendung aufzudecken und die Sicherheit der Webapplikation auf diese Weise zu erhöhen. Eingesetzt werden Methoden und Mittel, die auch echte Angreifer:innen verwenden würden.
Sichere Webanwendungen sind essenziell, um sensible Daten zu schützen und geschäftskritische Prozesse abzusichern. Penetrationstests decken gezielt Schwachstellen auf und helfen so, Sicherheitsrisiken frühzeitig zu minimieren.
Zugriffskontrolle (Autorisierung) / Mandantentrennung: Werden Zugriffsrechte für authentifizierte Nutzer nicht korrekt umgesetzt, können Angreifer u. U. auf Funktionen oder Daten anderer Nutzer zugreifen. Hierzu zählen auch mandantenübergreifende Zugriffe.
Ein- & Ausgabevalidierung: Werden Benutzer-Eingabedaten nicht ausreichend validiert, können Injection-Schwachstellen (z. B. Cross-Site Scripting (XSS), XML External Entities (XXE), SQL-Injection,) u.a. zu Datenverlust, -verfälschung oder Systemübernahme (Remote-Code-Execution) führen. Durch gezielte Injection-Angriffe wird versucht Schadcode in die Anwendung einzuschleusen.
Sicherheitsrelevante Fehlkonfiguration / Härtung: Durch Nutzung von Komponenten mit bekannten Schwachstellen, Standard-Konten, ungenutzte (Beispiel-, Test-)Seiten oder Fehlkonfigurationen etc. kann es möglich sein, unerlaubten Zugriff auf sensible Informationen oder das zugrundeliegende System (Web Server) zu erlangen.
Herausgabe sicherheitsrelevanter Informationen (Information Gathering/ Disclosure): Webseiten und Rückantworten von Webanwendungen und Web-Services können sicherheitsrelevante Informationen beinhalten (z.B. Versionsangaben), mit deren Hilfe Angreifer Sicherheitsmechanismen umgehen und Schwachstellen ausnutzen können.
Untersuchungen auf Netzwerkebene: Beim Penetrationstest ist eine Überprüfung auf Netzwerkebene des Webservers der Webanwendung (eine IP-Adresse) inklusive. Es werden Portscans, eine Überprüfung der SSL/TLS Konfiguration sowie Schwachstellenscans durchgeführt.
Authentifizierung / Session Management: Durch Fehler in der Authentisierung und dem Session Management können Angreifer ggf. die Identität anderer Nutzer übernehmen, bspw. mittels Bruteforce Angriffen, schwacher Sitzungs-IDs oder dem Einsatz unsicherer Passwörter.
Datensicherheit: Es muss sichergestellt werden, dass die Webanwendung so konfiguriert wird, dass Zugriffe ausschließlich über die vorgesehenen, abgesicherten/verschlüsselten Kommunikationspfade möglich sind. Der Zugriff auf nicht benötigte Ressourcen und Funktionen ist daher einzuschränken (z. B. mittels Cookie-Flags, HTTP Security Header).
Geschäfts-/Anwendungslogik: Bei mehrstufigen abgebildeten Geschäftsprozessen muss darauf geachtet werden, dass die umgesetzte Anwendungslogik nicht missbräuchlich verwendet werden kann (z. B. Ausbruch aus einem vorgesehenen Registrierungsprozess).
Kryptografie / SSL und TLS: Liegen Schwachstellen in der SSL/TLS-Konfiguration vor, steigt die Wahrscheinlichkeit, dass potenzielle Angreifer übertragene Daten mitlesen (Vertraulichkeit), manipulieren (Integrität) sowie sich unbefugt als legitime Vertrauensperson/Dienst ausgeben können (Authentizität) und auf diese Weise z.B. erfolgreich Man-in-the-Middle-Angriffe durchführen.
Datenschutz: Neben technischen Überprüfungen kann die Webanwendung (inkl. Hintergrundsystem) auch auf datenschutzrechtliche Aspekte überprüft werden, z. B. Umsetzung Privacy by Design, Erfüllung Datenschutzgrundsätze etc.
Der Prüfbericht wird von unseren Expertinnen und Experten immer individuell und leicht verständlich erstellt (keine automatische Generierung) und enthält mindestens folgende Informationen:
Die Vorgehensweise der TÜVIT-Sicherheitsexpert:innen orientiert sich an dem OWASP Application Security Verification Standard (ASVS), der grundlegende Sicherheitsanforderungen für Webanwendungen und Hintergrundsysteme beschreibt sowie dem OWASP Web Security Testing Guide (WSTG), der darstellt, wie die Anforderungen aus dem ASVS überprüft werden können. Des Weiteren werden die OWASP Top 10 Schwachstellen für Webanwendungen sowie das Durchführungskonzept für Penetrationstests vom BSI berücksichtigt und zuletzt der OWASP Nest Practices Ansatz
Die Kosten hängen von der Komplexität des Prüfgegenstandes ab. Ein Spot Check bewegt sich im unteren bis mittleren vierstelligen Bereich. Für eine genaue Preisindikation benötigen wir weitere Informationen zu Ihrer Webanwendung und Ihrem Hintergrundsystem.
Die Testdauer hängt von der gewählten Untersuchungsart (Level 1 bis 3) ab, siehe oben. Abweichend vom Testzeitraum wird ein Zeitraum von mindestens 1 Woche beim Spot Check (Level 1) bzw. mindestens 2 Wochen beim Regular (Level 2) und Advanced (Level 3) Pentest angenommen.
Gute Gründe, die für uns sprechen