Penetrationstest Webanwendungen

Gründe für eine Sicherheitsüberprüfung von Webanwendungen gibt es viele. Zu den wichtigsten Gründen gehören unter anderem:

• Ein Pentest hilft dabei, Schwachstellen in Ihrer Webanwendung aufzudecken, die Angreifer ausnutzen könnten
• Sicherheitsrisiken Ihrer Webanwendung besser verstehen und bewerten
• Schutz von Daten und Benutzern
• Einhaltung von Vorschriften
• Schutz des Unternehmensrufs

Es gibt diverse Meilensteine, die sich für eine Sicherheitsüberprüfung eignen:

• Begleitend zur Entwicklung
• Vor einem Go-Live einer Anwendung
• Abnahme von neuen Features
• In regelmäßigen Abständen

Im folgenden sind einige typische Ergebnisse für einen Webanwendungspenetrationstest:

• Schwachstellen in der Authentifikation und Autorisierung
• Injection Schwachstellen wie SQL Injections oder Cross-site Scripting (XSS)
• Fehler in organisatorischen Prozessen
• Konfigurationsfehler

Für die Vorbereitung und Durchführung benötigen wir:

• Zugriff auf die Applikation (ggf. VPN)
• Testdaten und Benutzerkonten
• Dokumentation (z.B. der API)
• Freischaltung unserer IP-Adresse in automatischen Systemen wie einer Web Application Firewall (WAF)
• Im Idealfall Quellcode
• Dritte sollten über die Prüfung informiert werden (Hosting Provider)

Sämtliche Punkte werden in einem separaten Kickoff Gespräch im Detail besprochen.