Web-Penetrationstest

Lassen Sie die Sicherheit Ihrer Web-Anwendung von unseren Experten ├╝berpr├╝fen.

Was ist ein Web-Penetrationstest?

Eine Welt ohne Webanwendungen ist heute kaum noch vorstellbar: Sie sind ├╝berall zu finden und wir vertrauen ihnen alle unsere Daten an. Um die Sicherheit dieser Applikationen zu ├╝berpr├╝fen, werden Web-Pene­trations­tests (kurz: Web-Pentests) durchgef├╝hrt. Ein solcher Penetrationstest f├╝r Webanwendungen ist eine gezielte Pr├╝fung einer Website auf Sicherheitsl├╝cken, die sonst auch b├Âsartige Hacker suchen. Die beauftragten Sicherheitsexperten analysieren bei dem Pentest den Code, testen die Authentifizierung und stellen die Daten├╝bertragung auf den Pr├╝fstand, um fr├╝hzeitig Risiken zu erkennen. Dadurch sollen potenzielle Schwachstellen identifiziert werden, bevor echte Angreifer sie ausnutzen k├Ânnen. Mit den konkreten Ma├čnahmenempfehlungen, die ebenfalls Ergebnis eines Penetrationstests sind, k├Ânnen sensible Daten gesch├╝tzt und die Widerstandsf├Ąhigkeit der Website vor Angriffen gest├Ąrkt werden.

Ein Web-Penetrationstest ist f├╝r jede Webanwendung geeignet, darunter traditionelle Websites mit Front- und Backend-Strukturen, moderne Single-Page-Applications (SPAs) sowie Schnittstellen, die auch als API (Application Programming Interface) bekannt sind.

Der Penetrationstest Web ist ein wirkungsvolles Instrument zum Risikomanagement und die Durchf├╝hrung entspricht dem Stand der Technik im Rahmen einer erfolgreichen Cybersecurity-Strategie.

  • Kommen Sie Angreifern zuvor
  • Erkennen Sie Sicherheitsl├╝cken fr├╝hzeitig
  • Minimieren Sie Angriffsrisiken wirksam
  • Sch├╝tzen Sie Ihre Website effektiv
  • St├Ąrken Sie Ihr Online-Vertrauen nachhaltig
public List<String> getProductTitlesLike(String titleInterfix) throws SQLException {
    String baseStatement = "SELECT title FROM products WHERE title LIKE ";
    String sql = baseStatement + "%" + titleInterfix + "%";
    PreparedStatment statement = dbConn.prepareStatment(sql);

    ResultSet resultSet = statement.executeQuery();
    List<String> result = new ArrayList<>();
    while (resultSet.next()) {
        String title = resultSet.getString("title");
        result.add(title);
    }

    return result;
}
Codebeispiel 1 Beispiel einer kritischen Sicherheitsl├╝cke in der Implementierung eines Datenbankzugriffs.

Wann brauche ich einen Pentest Web?

Angesichts der akuten Bedrohungen sind Penetrationstests unerl├Ąsslich, um die Widerstandsf├Ąhigkeit einer Website gegen Angriffe sicherzustellen. Lassen Sie in folgenden Situationen einen Web-Penetrationstest durchf├╝hren:

  • Eine Website oder Anwendung soll bald ver├Âffentlicht werden.
  • Es wurden wesentliche Code- oder Design├Ąnderungen durchgef├╝hrt.
  • Wichtige Ereignisse oder Ver├Âffentlichungen stehen bevor.
  • Eine Webanwendung wurde noch nie oder vor ├╝ber einem Jahr gepr├╝ft.
  • Ein Sicherheitsvorfall ist eingetreten.
  • ├änderungen in der Technologie oder der Umgebung finden statt.
  • Zur Compliance m├╝ssen Vorschriften und Standards eingehalten werden.

Ein Web-Penetrationstest ist immer dann geeignet, wenn die Sicherheit Ihrer Website, Ihrer Anwendung oder einer Ihrer APIs auf dem Spiel steht. Stellen Sie aktiv sicher, dass Ihre digitale Pr├Ąsenz vor aktuellen Bedrohungen gesch├╝tzt ist.

Ablauf eines Web-Pentests

1

Nach einer Beauftragung findet ein gemeinsamer Kick-off Termin statt.

  • Der Umfang des Pentests wird festgelegt.
  • Es wird diskutiert, auf welche Bedrohungen besonders eingegangen werden soll.
  • Ansprechpartner werden bekannt gegeben.
  • Ein Zeitraum wird vereinbart, in dem die Pr├╝fungen durchgef├╝hrt werden d├╝rfen.

Im Anschluss an das Treffen wird die Durchf├╝hrung des Penetrationstests vorbereitet und vor Beginn der eigentlichen Pr├╝fungen eine Freigabe erteilt.

2

In der Hauptphase des Pentests wird das System analysiert und es wird versucht Schutzziele zu verletzen.

  • Reconnaissance: Der Testgegenstand wird mit passiven und aktiven Methoden tiefgehend untersucht.
  • Enumeration: M├Âgliche Angriffsvektoren werden durch entdeckte Schwachstellen gesammelt.
  • Exploitation: Schwachstellen werden kontrolliert ausgenutzt und neue Informationen werden gewonnen.
  • Dokumentation: Die gefundenen Schwachstellen, Schritte zur Ausnutzung und konkrete Abhilfema├čnahmen werden pr├Ązise beschrieben.
3

Gemeinsame Ergebnisbesprechung, bei welcher die gefundenen Schwachstellen und Handlungsempfehlungen vorgestellt werden.

  • Pr├Ąsentation: Die Ergebnisse und deren Implikationen werden den Stakeholdern vorgestellt.
  • Empfehlungen: Konkrete Vorschl├Ąge zur Behebung von Schwachstellen werden gegeben.
  • Diskussion: Gemeinsam wird ├╝ber die n├Ąchsten Schritte zur Sicherheitsverbesserung und Risikominderung beraten.

Mit dem Ende des Pentests und dessen Ergebnissen setzt sich die Zusammenarbeit oftmals im vielf├Ąltigen Produktportfolio von aramido fort.

Normen und Standards

Eine Sicherheitspr├╝fung ist ein bew├Ąhrtes Instrument f├╝r Risikomanagement. Aus diesem Grund fordern zahlreiche Normen und Standards die regelm├Ą├čige Durchf├╝hrung eines Web-Penetrationstests, darunter PCI-DSS, ISO IEC 27001, TISAX (VDA ISA), NIST SP 800-53 und SOC 2. Auch Vorschriften durch die BaFin fordern mit ZAIT, VAIT, BAIT und KAIT Sicherheitspr├╝fungen ein.

Umfangreiche Pr├╝fung der Anwendung

Ein Web-Penetrationstest orientiert sich an verschiedenen Vorgehensweisen und Standards, um eine gr├╝ndliche und standardisierte Pr├╝fung der Sicherheitslage sicherzustellen. Im Folgenden sind beispielhaft Pr├╝fungen aufgelistet, welche bei einem Web-Penetrationstest durchgef├╝hrt werden:

  • Pr├╝fungen gem├Ą├č OWASP Top 10, um die h├Ąufigsten Sicherheitsrisiken zu erkennen
  • Pr├╝fung von Injection Angriffen wie SQL-Injections (SQLi), Cross Site Scripting (XSS) oder SMTP-Injections
  • Authentifizierung und Autorisierungspr├╝fungen, um Schwachstellen wie beispielsweise CVE-2020-15958 aufzudecken
  • Pr├╝fung des Rechte- und Rollenkonzepts
  • Pr├╝fung schwacher Kryptografie (Encryption at Rest und Encryption in Transit)
  • Pr├╝fung von Datei-Uploads und Eingabedatenvalidierung
  • Pr├╝fung von Cross Site Request Forgeries (CSRF) und Server Side Request Forgeries (SSRF)

Bereit, Ihre Website abzusichern? Unsere Profis enth├╝llen Schwachstellen, bevor es Hacker tun. Kontaktieren Sie uns jetzt und verteidigen Sie Ihre Online-Pr├Ąsenz!

Penetrationstest anfragen

aramido ist Ihr qualifizierter Partner f├╝r Web-Penetrationstests

  • Tiefgreifende Sicherheitsanalyse: Unser Penetrationstest geht ├╝ber einfache Schwachstellenscans weit hinaus. aramido Pentester f├╝hren manuelle Tests durch und nutzen kreativ Angriffsvektoren, um auch komplexe Schwachstellen zu identifizieren und deren Auswirkungen auf das Gesamtsystem zu bewerten. Dies erm├Âglicht eine umfassende Analyse der Sicherheitslage Ihrer Plattform.
  • Innovative Expertise: Unser Team besteht aus hoch qualifizierten Ethical Hackern mit langj├Ąhriger Erfahrung und aktuellem Wissen ├╝ber die neuesten Bedrohungen und Angriffstechniken.
  • Ma├čgeschneiderte Ans├Ątze: Wir passen unsere Tests auf die individuellen Bed├╝rfnisse Ihrer Plattform an, sei es eine traditionelle Webseite, eine Single-Page-Application oder eine API.
  • Ganzheitliche Sicherheitsanalyse: Unser Ansatz deckt sowohl automatisierte Scans als auch manuelle Tests ab, um selbst die raffiniertesten Sicherheitsl├╝cken zu erkennen.
  • Preiswerter Penetrationstest: Wir bieten professionelle Leistungen zu sehr guten, markt├╝blichen Konditionen an.
  • Verst├Ąndliche Berichte: Unsere Berichte sind klar strukturiert und verst├Ąndlich. Sie erhalten nicht nur eine Liste von Schwachstellen, sondern auch klare Handlungsempfehlungen zur Behebung.
  • Zuverl├Ąssige Partnerschaft: Wir stehen Ihnen nicht nur w├Ąhrend des Tests zur Seite, sondern sind Ihr Ansprechpartner f├╝r alle Fragen der Informationssicherheit.
  • Kommen Sie Angreifern zuvor
  • Erkennen Sie Sicherheitsl├╝cken fr├╝hzeitig
  • Minimieren Sie Angriffsrisiken wirksam
  • Sch├╝tzen Sie Ihre Website effektiv
  • St├Ąrken Sie Ihr Online-Vertrauen nachhaltig

Artikel zum Thema

Armin Harbrecht

Am 14.11.2016 ver├Âffentlicht.

Was kostet ein Penetrationstest?

Als Penetrationstester bekommt man h├Ąufig die Frage, was die Kosten f├╝r einen Penetrationstest sind. Die Antwort h├Ąngt von verschiedenen Faktoren ab. (weiterlesen)


Andreas Sperber

Am 01.08.2016 ver├Âffentlicht.

Was ist ein Penetrationstest?

IT ist ein fes­ter Be­stand­teil un­se­res Le­bens. Ha­cker nu­tzen Schwach­stel­len aus, um da­raus Pro­fit zu schla­gen. Pe­ne­tra­tions­tests ver­bes­sern IT-Sicherheit. (weiterlesen)


Moritz Kaumanns

Am 01.02.2021 ver├Âffentlicht.

Sicherheitswarnung: Amazon Secret Key ├Âffentlich einsehbar (CVE-2020-28199)

Eine Sicher­┬ş┬şheits┬ş┬ş­l├╝cke in einem Amazon Pay Plugin f├╝r Shopware 5 erlaubt das un­auto­ri­sier­te Aus­lesen des Amazon Secret Keys (CVE-2020-28199). (weiterlesen)


Andreas Sperber

Am 28.01.2017 ver├Âffentlicht.

aramido auf der 18. Industriemesse i+e 2017

aramido ist Aus­steller auf der In­dus­trie­messe i+e 2017 in Frei­burg: Besu­cher k├Ân­nen sich am 1. und 2. Febru­ar ├╝ber In­for­mations­sicher­heit bera­ten las­sen. (weiterlesen)


Andreas Sperber

Am 19.09.2016 ver├Âffentlicht.

RoundTable: Gebt mir eure Daten!

Lang­fristiger Kun­den­er­folg Ihrer SaaS-L├­sung durch IT-Sicher­heit und Da­ten­schutz - ein Vor­trag mit Live-Hacking von aramido und eknowvation (weiterlesen)