Penetrationstests von Web-Anwendungen

Mit Penetrationstests Risiken minimieren & die Sicherheit Ihrer Webanwendung erhöhen

Sind Webanwendungen nicht ausreichend geschützt, drohen sie zum Ziel potenzieller Hackerangriffe zu werden. Diese gefährden neben sensiblen Kundendaten auch interne Unternehmensnetzwerke.

Mithilfe bedarfsgerechter Penetrationstests (Pentests) unterstützen wir Sie dabei, Ihre Webanwendung bestmöglich gegen Cyberattacken und Datendiebstähle abzusichern. Unsere Expert:innen überprüfen etablierte Sicherheitsmaßnahmen, ermitteln konkrete Risiken und identifizieren Schwachstellen.

Bestmöglicher Schutz Ihrer Webanwendung vor Cyberangriffen

Durch Penetrationstests decken wir Schwachstellen und potenzielle Sicherheitslücken Ihrer Webanwendung auf, bevor es andere tun.

Umfassende Untersuchung Ihrer Anwendung auch auf Netzwerkebene

Mittels Port- & Schwachstellenscans überprüfen wir ebenso die Sicherheit des zugrundeliegenden Backendsystems (Webserver) der Webanwendung.

Aussagekräftiger Prüfbericht samt Handlungsempfehlungen

Alle Ergebnisse erhalten Sie in Form eines ausführlichen Prüfberichts, inklusive passender Handlungsempfehlungen zur Behebung von Schwachstellen.

Web Application Security: Pentests gegen Webanwendungen

Individuelles Angebot anfordern

Jetzt Kontakt aufnehmen

Was ist ein Web-Pentest?

Ein Web-Pentest (Web Application Penetration Testing) ist eine IT-Sicherheitsmaßnahme, mit der die Sicherheit von Webanwendungen überprüft wird.

Ziel ist es, bestehende Sicherheitslücken und mögliche Angriffspunkte in der Webanwendung aufzudecken und die Sicherheit der Webapplikation auf diese Weise zu erhöhen. Eingesetzt werden Methoden und Mittel, die auch echte Angreifer:innen verwenden würden.

Sie möchten mehr erfahren? Nehmen Sie gerne Kontakt zu uns auf!

Penetrationstests für sichere Webanwendungen: Ihre Vorteile auf einen Blick

Angreifern einen Schritt voraus
Pentests identifizieren Sicherheitslücken & Schwachstellen, bevor Kriminelle diese für ihre Zwecke nutzen können.

IT-Sicherheit erhöhen, Risiken mindern
Pentests helfen Ihnen dabei, die Sicherheit Ihrer Webanwendung zu verbessern & Angriffsrisiken zu senken.

Pentests auf Basis anerkannter Standards
Unsere Expert:innen prüfen die Sicherheit Ihrer Webanwendung nach anerkannten Standards & Richtlinien.

Vertrauen bei Kunden & Geschäftspartnern
Eine unabhängige Sicherheitsanalyse Ihrer Webanwendung stärkt das Vertrauen bei Ihren Kunden & Geschäftspartnern.

Sicherheit auf allen Webanwendungs-Ebenen
Neben dem Frontend überprüfen unsere Expert:innen auch die Sicherheit des Backendsystems (Webserver).

Konzentration auf Ihr Tagesgeschäft
Fokussieren Sie sich auf Ihr Business, während unsere Expert:innen Ihre Anwendung unter die Lupe nehmen.

Kontinuierliche Verbesserung
Mithilfe von Penetrationstests decken Sie Verbesserungspotenziale Ihrer Webanwendung auf.

Schutz vor finanziellen & Reputationsschäden
Prävention statt Rehabilitation: Durch Pentests beugen Sie Angriffen – und damit einhergehenden Schäden – vor.

Unsere Leistungen: 3 Arten von Pentests gegen Webanwendungen

Pentests gegen Webanwendungen – Leistungen: Spot Check

Spot Check
– Level 1

Stichprobenartige Einschätzung des Sicherheitsniveaus Ihrer Anwendung hinsichtlich Schwachstellen.

Stichprobe / Erste Einschätzung

Pentests gegen Webanwendungen – Leistungen: Regular Pentest

Regular Pentest
– Level 2

Untersuchung zur Einschätzung der Sicherheit, zur Ermittlung der am häufigsten auftretenden Risiken und Schwachstellen für Webanwendungen.

Für die meisten Anwendungen

Pentests gegen Webanwendungen – Leistungen: Advanced Pentest

Advanced Pentest
– Level 3

Tiefergehende Untersuchung, die zusätzlich zu Level 2 auch schwer ausnutzbare Risiken und Schwachstellen ermittelt, insbesondere durch mehr Testfälle.

Hohes Sicherheitsniveau

Zur detaillierten Übersicht

Ablauf eines Pentests gegen eine Webanwendung

1.

Vorbereitung & Kickoff

Klärung technischer & organisatorischer Besonderheiten sowie der Voraussetzungen.

2.

Informationsbeschaffung & Analyse

Ermittlung grundlegender Informationen über den Untersuchungsgegenstand.

3.

Durchführung Penetrationstests

Untersuchung der ausgewählten Webanwendung auf Basis der gesammelten Informationen.

4.

Abschlussbericht

Zusammenfassung aller Ergebnisse der Prüfung in Form eines Abschlussberichtes.

Optional: Re-Test

Prüfung, ob die durchgeführten Verbesserungs- & Abwehrmaßnahmen (wirksam) greifen.

Das wird untersucht

Im Rahmen von Penetrationstests (inkl. Backendsysteme, Webservices & APIs) wird die jeweilige Webanwendung auf die kritischsten bzw. am häufigsten ausgenutzten Sicherheitsrisiken hin untersucht.

Zugriffskontrolle (Autorisierung) / Mandantentrennung: Werden Zugriffsrechte für authentifizierte Nutzer nicht korrekt umgesetzt, können Angreifer u. U. auf Funktionen oder Daten anderer Nutzer zugreifen. Hierzu zählen auch mandantenübergreifende Zugriffe.

Authentifizierung / Session Management: Durch Fehler in der Authentisierung und dem Session Management können Angreifer ggf. die Identität anderer Nutzer übernehmen, bspw. mittels Bruteforce Angriffen, schwacher Sitzungs-IDs oder dem Einsatz unsicherer Passwörter.

Ein- & Ausgabevalidierung: Werden Benutzer-Eingabedaten nicht ausreichend validiert, können Injection-Schwachstellen (z. B. Cross-Site Scripting (XSS), XML External Entities (XXE), SQL-Injection,) u.a. zu Datenverlust, -verfälschung oder Systemübernahme (Remote-Code-Execution) führen. Durch gezielte Injection-Angriffe wird versucht Schadcode in die Anwendung einzuschleusen.

Datensicherheit: Es muss sichergestellt werden, dass die Webanwendung so konfiguriert wird, dass Zugriffe ausschließlich über die vorgesehenen, abgesicherten/verschlüsselten Kommunikationspfade möglich sind. Der Zugriff auf nicht benötigte Ressourcen und Funktionen ist daher einzuschränken (z. B. mittels Cookie-Flags, HTTP Security Header).

Sicherheitsrelevante Fehlkonfiguration / Härtung: Durch Nutzung von Komponenten mit bekannten Schwachstellen, Standard-Konten, ungenutzte (Beispiel-, Test-)Seiten oder Fehlkonfigurationen etc. kann es möglich sein, unerlaubten Zugriff auf sensible Informationen oder das zugrundeliegende System (Web Server) zu erlangen.

Geschäfts-/Anwendungslogik: Bei mehrstufigen abgebildeten Geschäftsprozessen muss darauf geachtet werden, dass die umgesetzte Anwendungslogik nicht missbräuchlich verwendet werden kann (z. B. Ausbruch aus einem vorgesehenen Registrierungsprozess).

Herausgabe sicherheitsrelevanter Informationen (Information Gathering/ Disclosure): Webseiten und Rückantworten von Webanwendungen und Web-Services können sicherheitsrelevante Informationen beinhalten (z.B. Versionsangaben), mit deren Hilfe Angreifer Sicherheitsmechanismen umgehen und Schwachstellen ausnutzen können.

Kryptografie / SSL und TLS: Liegen Schwachstellen in der SSL/TLS-Konfiguration vor, steigt die Wahrscheinlichkeit, dass potenzielle Angreifer übertragene Daten mitlesen (Vertraulichkeit), manipulieren (Integrität) sowie sich unbefugt als legitime Vertrauensperson/Dienst ausgeben können (Authentizität) und auf diese Weise z.B. erfolgreich Man-in-the-Middle-Angriffe durchführen.

Untersuchungen auf Netzwerkebene: Beim Penetrationstest ist eine Überprüfung auf Netzwerkebene des Webservers der Webanwendung (eine IP-Adresse) inklusive. Es werden Portscans, eine Überprüfung der SSL/TLS Konfiguration sowie Schwachstellenscans durchgeführt.

Datenschutz: Neben technischen Prüfungen können z.B. auch die Nutzungsbedingungen (AGB) einer Webanwendung auf datenschutzrechtliche Aspekte hin überprüft werden.

Häufig gestellte Fragen (FAQ):

Was beinhaltet der Abschlussbericht?

Der Abschlussbericht wird von unseren Expertinnen und Experten immer individuell und leicht verständlich erstellt (keine automatische Generierung) und enthält mindestens folgende Informationen:

Einleitung: Kurzbeschreibung des Prüfgegenstandes, Ziel des Pentests sowie Dokumentation von Besonderheiten während der Untersuchung.
Management/Executive Summary: Zusammenfassung der Ergebnisse und Einschätzung des allgemeinen Sicherheitsniveaus.
Risikobewertung: Zuweisung eines Risikograds zu jeder Schwachstelle (Informativ, Niedriges-, Mittleres-, Hohes- oder Kritisches-Risiko), mit dem die Kritikalität der jeweiligen Schwachstelle beschrieben wird.
Übersichtliche Darstellung: Übersichtliche Darstellung aller ermittelten Schwachstellen in einer Tabelle sowie in einem Risikostrahl, der die Anzahl der Schwachstellen pro Risikograd darstellt.
Detaillierte Beschreibung der Schwachstellen & Proof-of-Concept: Zu jeder Schwachstelle gibt es eine individuelle Beschreibung, die genau wiedergibt, wie die Schwachstelle gefunden wurde und wie diese durch einen Angreifer ausgenutzt werden kann (Proof-of-Concept).
Auswertung automatisierter Tests: Die Ergebnisse der automatisierten Tests werden von den TÜVIT-Expert:innen ausgewertet, auf false/positive geprüft und anschließend im Bericht zusammengefasst.
Maßnahmenempfehlung zur Behebung der Schwachstelle: Zu jeder Schwachstelle gibt es eine Maßnahmenempfehlung zur Beseitigung der Schwachstelle.
Referenzen: Sofern vorhanden geben wir Referenzen auf Schwachstellendatenbanken (z. B. CVE) an.
Technische Anhänge: Sofern vorhanden werden weitere Informationen und Dateien zu den durchgeführten Tests als Anhang bereitgestellt, bspw. die Roh-Ergebnisse der Port- und Schwachstellenscans.

Welche Test-Methoden bieten wir an?

Black-Box
Pentest ohne Zusatzinformationen
Grey-Box (Standard)
Pentest mit Zusatzinformationen, bspw. Testzugangsdaten und (API-) Dokumentationen
White-Box
Pentest mit weiteren Zusatzinformationen, neben Testzugangsdaten bspw. Architektur-/Designdokumente, Kommunikationsmatrix oder Quellcode

An welchen Standards orientiert TÜVIT sich bei der Durchführung von Penetrationstests?

Die Vorgehensweise der TÜVIT-Expert:innen orientiert sich an dem OWASP Application Security Verification Standard (ASVS), der grundlegende Sicherheitsanforderungen für Webanwendungen beschreibt sowie dem OWASP Web Security Testing Guide (WSTG), der darstellt, wie die Anforderungen aus dem ASVS überprüft werden können. Des Weiteren werden die OWASP Top 10 Schwachstellen für Webanwendungen sowie das Durchführungskonzept für Penetrationstests vom BSI berücksichtigt.

Was kostet ein Pentest?

Die Kosten hängen von der gewählten Untersuchungsart (Level 1 bis 3) sowie der Komplexität des Untersuchungsgegenstandes ab. Ein Spot Check bewegt sich im unteren bis mittleren vierstelligen Bereich. Der Regular Pentest liegt im oberen vierstelligen bzw. unteren fünfstelligen Bereich und der Advanced Pentest beginnt im unteren fünfstelligen Bereich. Für eine genaue Preisindikation benötigen wir weitere Informationen zu Ihrer Webanwendung.

Jetzt individuelles Angebot anfordern

Wie lange dauert ein Pentest?

Die Testdauer hängt von der gewählten Untersuchungsart (Level 1 bis 3) ab, siehe oben. Abweichend vom Testzeitraum wird ein Zeitraum von mindestens 1 Woche beim Spot Check (Level 1) bzw. mindestens 2 Wochen beim Regular (Level 2) und Advanced (Level 3) Pentest angenommen.

Unabhängigkeit

Unsere Mitarbeitenden unterliegen keinen Zielkonflikten, da sie keinen Produktanbietern, Systemintegratoren, Aktionären, Interessensgruppen oder Regierungsstellen verpflichtet sind.

Expertise

Mit uns haben Sie einen der führenden Experten im Bereich Cyber-Security an Ihrer Seite, der vom BSI als IT-Sicherheitsdienstleister für IS-Revision und Penetrationstests zertifiziert ist.

Internationales Expertennetzwerk

Rund um den Globus: Wir unterstützen Sie sowohl national als auch international. Unser globales Expertennetzwerk steht Ihnen in allen IT-Sicherheitsfragen zur Seite.