Web-Penetrationstest

Lassen Sie die Sicherheit Ihrer Web-Anwendung von unseren Experten überprüfen.

  1. Start
  2. IT-Sicherheitsprüfung
  3. Web-Penetrationstest

Was ist ein Web-Penetrationstest?

Eine Welt ohne Webanwendungen ist heute kaum noch vorstellbar: Sie sind überall zu finden und wir vertrauen ihnen alle unsere Daten an. Um die Sicherheit dieser Applikationen zu überprüfen, werden Web-Pene­trations­tests (kurz: Web-Pentests) durchgeführt. Ein solcher Penetrationstest für Webanwendungen ist eine gezielte Prüfung einer Website auf Sicherheitslücken, die sonst auch bösartige Hacker suchen. Die beauftragten Sicherheitsexperten analysieren bei dem Pentest den Code, testen die Authentifizierung und stellen die Datenübertragung auf den Prüfstand, um frühzeitig Risiken zu erkennen. Dadurch sollen potenzielle Schwachstellen identifiziert werden, bevor echte Angreifer sie ausnutzen können. Mit den konkreten Maßnahmenempfehlungen, die ebenfalls Ergebnis eines Penetrationstests sind, können sensible Daten geschützt und die Widerstandsfähigkeit der Website vor Angriffen gestärkt werden.

Ein Web-Penetrationstest ist für jede Webanwendung geeignet, darunter traditionelle Websites mit Front- und Backend-Strukturen, moderne Single-Page-Applications (SPAs) sowie Schnittstellen, die auch als API (Application Programming Interface) bekannt sind.

Der Penetrationstest Web ist ein wirkungsvolles Instrument zum Risikomanagement und die Durchführung entspricht dem Stand der Technik im Rahmen einer erfolgreichen Cybersecurity-Strategie.

  • Kommen Sie Angreifern zuvor
  • Erkennen Sie Sicherheitslücken frühzeitig
  • Minimieren Sie Angriffsrisiken wirksam
  • Schützen Sie Ihre Website effektiv
  • Stärken Sie Ihr Online-Vertrauen nachhaltig
Penetrationstest anfragen
public List<String> getProductTitlesLike(String titleInterfix) throws SQLException {
    String baseStatement = "SELECT title FROM products WHERE title LIKE ";
    String sql = baseStatement + "%" + titleInterfix + "%";
    PreparedStatment statement = dbConn.prepareStatment(sql);

    ResultSet resultSet = statement.executeQuery();
    List<String> result = new ArrayList<>();
    while (resultSet.next()) {
        String title = resultSet.getString("title");
        result.add(title);
    }

    return result;
}
Codebeispiel 1 Beispiel einer kritischen Sicherheitslücke in der Implementierung eines Datenbankzugriffs.

Wann brauche ich einen Pentest Web?

Angesichts der akuten Bedrohungen sind Penetrationstests unerlässlich, um die Widerstandsfähigkeit einer Website gegen Angriffe sicherzustellen. Lassen Sie in folgenden Situationen einen Web-Penetrationstest durchführen:

  • Eine Website oder Anwendung soll bald veröffentlicht werden.
  • Es wurden wesentliche Code- oder Designänderungen durchgeführt.
  • Wichtige Ereignisse oder Veröffentlichungen stehen bevor.
  • Eine Webanwendung wurde noch nie oder vor über einem Jahr geprüft.
  • Ein Sicherheitsvorfall ist eingetreten.
  • Änderungen in der Technologie oder der Umgebung finden statt.
  • Zur Compliance müssen Vorschriften und Standards eingehalten werden.

Ein Web-Penetrationstest ist immer dann geeignet, wenn die Sicherheit Ihrer Website, Ihrer Anwendung oder einer Ihrer APIs auf dem Spiel steht. Stellen Sie aktiv sicher, dass Ihre digitale Präsenz vor aktuellen Bedrohungen geschützt ist.

Ablauf eines Web-Pentests

1

Nach einer Beauftragung findet ein gemeinsamer Kick-off Termin statt.

  • Der Umfang des Pentests wird festgelegt.
  • Es wird diskutiert, auf welche Bedrohungen besonders eingegangen werden soll.
  • Ansprechpartner werden bekannt gegeben.
  • Ein Zeitraum wird vereinbart, in dem die Prüfungen durchgeführt werden dürfen.

Im Anschluss an das Treffen wird die Durchführung des Penetrationstests vorbereitet und vor Beginn der eigentlichen Prüfungen eine Freigabe erteilt.

2

In der Hauptphase des Pentests wird das System analysiert und es wird versucht Schutzziele zu verletzen.

  • Reconnaissance: Der Testgegenstand wird mit passiven und aktiven Methoden tiefgehend untersucht.
  • Enumeration: Mögliche Angriffsvektoren werden durch entdeckte Schwachstellen gesammelt.
  • Exploitation: Schwachstellen werden kontrolliert ausgenutzt und neue Informationen werden gewonnen.
  • Dokumentation: Die gefundenen Schwachstellen, Schritte zur Ausnutzung und konkrete Abhilfemaßnahmen werden präzise beschrieben.
3

Gemeinsame Ergebnisbesprechung, bei welcher die gefundenen Schwachstellen und Handlungsempfehlungen vorgestellt werden.

  • Präsentation: Die Ergebnisse und deren Implikationen werden den Stakeholdern vorgestellt.
  • Empfehlungen: Konkrete Vorschläge zur Behebung von Schwachstellen werden gegeben.
  • Diskussion: Gemeinsam wird über die nächsten Schritte zur Sicherheitsverbesserung und Risikominderung beraten.

Mit dem Ende des Pentests und dessen Ergebnissen setzt sich die Zusammenarbeit oftmals im vielfältigen Produktportfolio von aramido fort.

Normen und Standards

Eine Sicherheitsprüfung ist ein bewährtes Instrument für Risikomanagement. Aus diesem Grund fordern zahlreiche Normen und Standards die regelmäßige Durchführung eines Web-Penetrationstests, darunter PCI-DSS, ISO IEC 27001, TISAX (VDA ISA), NIST SP 800-53 und SOC 2. Auch Vorschriften durch die BaFin fordern mit ZAIT, VAIT, BAIT und KAIT Sicherheitsprüfungen ein.

Umfangreiche Prüfung der Anwendung

Ein Web-Penetrationstest orientiert sich an verschiedenen Vorgehensweisen und Standards, um eine gründliche und standardisierte Prüfung der Sicherheitslage sicherzustellen. Im Folgenden sind beispielhaft Prüfungen aufgelistet, welche bei einem Web-Penetrationstest durchgeführt werden:

  • Prüfungen gemäß OWASP Top 10, um die häufigsten Sicherheitsrisiken zu erkennen
  • Prüfung von Injection Angriffen wie SQL-Injections (SQLi), Cross Site Scripting (XSS) oder SMTP-Injections
  • Authentifizierung und Autorisierungsprüfungen, um Schwachstellen wie beispielsweise CVE-2020-15958 aufzudecken
  • Prüfung des Rechte- und Rollenkonzepts
  • Prüfung schwacher Kryptografie (Encryption at Rest und Encryption in Transit)
  • Prüfung von Datei-Uploads und Eingabedatenvalidierung
  • Prüfung von Cross Site Request Forgeries (CSRF) und Server Side Request Forgeries (SSRF)

Bereit, Ihre Website abzusichern? Unsere Profis enthüllen Schwachstellen, bevor es Hacker tun. Kontaktieren Sie uns jetzt und verteidigen Sie Ihre Online-Präsenz!

Penetrationstest anfragen

Penetrationstests (Übersicht)

Unterschiedliche Varianten von Penetrationstest für Ihre Assets

Penetrationstests Infrastruktur

Sicherheitstests von Komponenten der IT-Infrastruktur wie Server und Dienste

Penetrationstest Mobile

Sicherheitsuntersuchung von Mobile Apps und deren Schnittstellen

Belastungstests und Dienstausfallprüfung

Stresstests von IT-Systemen

Schwach­stellen­scan

Automatisierte und effiziente Prüfung auf bekannte Schwachstellen

Red Teaming

Digitale und physische Angriffe gegen die gesamte Organisation

aramido ist Ihr qualifizierter Partner für Web-Penetrationstests

  • Tiefgreifende Sicherheitsanalyse: Unser Penetrationstest geht über einfache Schwachstellenscans weit hinaus. aramido Pentester führen manuelle Tests durch und nutzen kreativ Angriffsvektoren, um auch komplexe Schwachstellen zu identifizieren und deren Auswirkungen auf das Gesamtsystem zu bewerten. Dies ermöglicht eine umfassende Analyse der Sicherheitslage Ihrer Plattform.
  • Innovative Expertise: Unser Team besteht aus hoch qualifizierten Ethical Hackern mit langjähriger Erfahrung und aktuellem Wissen über die neuesten Bedrohungen und Angriffstechniken.
  • Maßgeschneiderte Ansätze: Wir passen unsere Tests auf die individuellen Bedürfnisse Ihrer Plattform an, sei es eine traditionelle Webseite, eine Single-Page-Application oder eine API.
  • Ganzheitliche Sicherheitsanalyse: Unser Ansatz deckt sowohl automatisierte Scans als auch manuelle Tests ab, um selbst die raffiniertesten Sicherheitslücken zu erkennen.
  • Preiswerter Penetrationstest: Wir bieten professionelle Leistungen zu sehr guten, marktüblichen Konditionen an.
  • Verständliche Berichte: Unsere Berichte sind klar strukturiert und verständlich. Sie erhalten nicht nur eine Liste von Schwachstellen, sondern auch klare Handlungsempfehlungen zur Behebung.
  • Zuverlässige Partnerschaft: Wir stehen Ihnen nicht nur während des Tests zur Seite, sondern sind Ihr Ansprechpartner für alle Fragen der Informationssicherheit.
  • Kommen Sie Angreifern zuvor
  • Erkennen Sie Sicherheitslücken frühzeitig
  • Minimieren Sie Angriffsrisiken wirksam
  • Schützen Sie Ihre Website effektiv
  • Stärken Sie Ihr Online-Vertrauen nachhaltig
Penetrationstest anfragen

Artikel zum Thema

Armin Harbrecht

Am 14.11.2016 veröffentlicht.

Was kostet ein Penetrationstest?

Als Penetrationstester bekommt man häufig die Frage, was die Kosten für einen Penetrationstest sind. Die Antwort hängt von verschiedenen Faktoren ab. (weiterlesen)

Andreas Sperber

Am 01.08.2016 veröffentlicht.

Was ist ein Penetrationstest?

IT ist ein fes­ter Be­stand­teil un­se­res Le­bens. Ha­cker nu­tzen Schwach­stel­len aus, um da­raus Pro­fit zu schla­gen. Pe­ne­tra­tions­tests ver­bes­sern IT-Sicherheit. (weiterlesen)

Moritz Kaumanns

Am 01.02.2021 veröffentlicht.

Sicherheitswarnung: Amazon Secret Key öffentlich einsehbar (CVE-2020-28199)

Eine Sicher­­­heits­­­lücke in einem Amazon Pay Plugin für Shopware 5 erlaubt das un­auto­ri­sier­te Aus­lesen des Amazon Secret Keys (CVE-2020-28199). (weiterlesen)

Andreas Sperber

Am 28.01.2017 veröffentlicht.

aramido auf der 18. Industriemesse i+e 2017

aramido ist Aus­steller auf der In­dus­trie­messe i+e 2017 in Frei­burg: Besu­cher kön­nen sich am 1. und 2. Febru­ar über In­for­mations­sicher­heit bera­ten las­sen. (weiterlesen)

Andreas Sperber

Am 19.09.2016 veröffentlicht.

RoundTable: Gebt mir eure Daten!

Lang­fristiger Kun­den­er­folg Ihrer SaaS-Lö­sung durch IT-Sicher­heit und Da­ten­schutz - ein Vor­trag mit Live-Hacking von aramido und eknowvation (weiterlesen)

Themenfelder

Cross Site Request Forgery (CSRF) Cross Site Scripting (XSS) Ethical Hacker Informationssicherheit Man-In-The-Middle (MIM) Security Audit SQL Injections Threat Modeling Web Application Security White Hat Hacker