Zum Inhalt springen

Wir untersuchen Ihre Webanwendungen und Webserver mit dem Mittel des Penetrations­tests (simulierte Hackerangriffe) auf Schwach­stellen. Die Untersuchgung geht dabei weit über den von der OWASP empfohlenen Umfang hinaus und betrachtet alle 5 Ebenen im Klassifizierungsschema zur Organisation von Sicherheit in Webanwendungen des Bundesamt für Sicherheit in der Informationstechnik (BSI).

Dank unserer Erfahrung aus 6 Jahren Spezialisierung auf die Sicherheit von Webanwendungen sind wir in der Lage, Analysen durchzuführen, die in Tiefe und Umfang weit über das Herkömmliche hinausgehen.

Wir legen den Schwerpunkt in der Regel auf das manuelle Testen, da der Einsatzbereich von automatischen Scannern nach wie vor sehr eingeschränkt ist. Angepasst an den individuellen Schutzbedarf und das bestehende Bedrohungspotential bieten wir einen besonders kostengünstigen Ersttest oder einen individuellen Volltest an.

Ersttest

Im Ersttest untersuchen wir den Testgegenstand gezielt nach Schwachstellen,

  • die eine weite Verbreitung haben
  • die ein erhöhtes Gefahrenpotential in sich bergen

Der Ersttest ist besonders dann das geeignete Vorgehen, wenn eine Webanwendung oder eine Website zum ersten Mal einem Test unterzogen wird. Er liefert zu einem sehr günstigen Kosten-Nutzen-Verhältnis bereits eine weitreichende Erkennung von Sicherheitsproblemen und versetzt den Auftraggeber in die Lage, den Sicherheitszustand zu bewerten.

Volltest

Der Volltest ist dann angebracht, wenn der Schwerpunkt auf der Herstellung maximaler Sicherheit liegt. Die Webanwendung bzw. Website wird dabei einem umfassenden und in die Tiefe gehenden Test unterzogen. Mittels einer auf unseren Erfahrungen basierenden Checkliste können Schutzbedarf und Testumfang ermittelt und ein Kosten/Nutzen-optimimales Test-budget bereitgestellt werden.

Am Beispiel: Bei einer sensitiven Anwendung wie z.B. einem Brancheportal, das mit wettbewerbskritische Daten und Prozessen arbeitet, werden die Tests intensiver und tiefergehend ausgelegt als bei einer weniger kritischen Anwendung, wie etwa einem Diskussionsforum.

Low-Budget-Ansatz

Für besondere Fälle, zB. wenn sehr viele ähnliche Webanwendungen gleichzeitig getestet werden sollen, bieten wir einen - auf die einzelne Webanwendung bezogen - sehr kostengünstigen Ansatz an.

Mehr ...

Mehr ...

Auf Basis eines vorgegebenen, zumeist engen Zeitbudgets besteht die Aufgabe darin, ein Maximum an Sicherheitsproblemen aufzuspüren. Für die Qualität des Ergebnisses, dh. die Anzahl gefundener Schwachstellen sowie der Abdeckungsgrad bei den kritischen Schwachstellen, ist hierbei die Effizienz und Leistungsfähigkeit der Analysetechnik sowie die optimale Priorisierung von möglichen Schwachstellen entscheidend. Wir haben unser Verfahren daraufhin optimiert, trotz enger Budgetlimitierung die als kritisch einzustufenden Schwachstellen aufzuspüren sowie ein Maximum an sonstigen Schwachstellen zu finden.

Da Zeitkontingent und Komplexität der jeweiligen Anwendung in enger Abhängigkeit zueinander stehen, kommt es bei der Vorgabe eines Standardzeitbudgets naturgemäß vor, dass das Analyseergebnis nicht als hinreichend für eine abschließende Sicherheitsbewertung angesehen werden kann. In diesem Fall verfahren wir wie folgt:

  • Wir treffen eine Aussage über den Grad der Zuverlässigkeit des erreichten Standes der Untersuchung. Diese betrachtet insbesondere kritische Sicherheitsprobleme und drückt aus, bis zu welchem Grad das jeweilige Problem untersucht werden konnte. 
  • Wir benennen die Untersuchungen, von denen wir meinen, dass sie für eine hinreichend fundierte Bewertung noch durchzuführen sind, und geben dazu eine Abschätzung über den erforderlichen Zeitaufwand an.

Standards und Best Practices

Bei unseren Untersuchungen halten wir uns an bestehende Standards und Best Practices, an denen wir zum Teil (BSI, OWASP) selbst mirgewirkt haben:

  • "Maßnahmenkatalog und Best Practices zur Sicherheit von Webanwendungen",
    Bundesamt für Sicherheit in der Informationstechnik (BSI)
  • BSI-Studie "Durchführungskonzept für Penetrationstests"
  • OWASP Testing Guide v2
  • OWASP Top 10 2007
  • OWASP Development Guide v2
  • Web Application Security Consortium (WASC) Threat Classification v1.0
  • PCI Data Security Standard (PCI-DSS)

Umfang

Schwachstellen, die auf Implementierungs- und Konfigurationsfehler zurück­zuführen sind (Ebenen 1 und 3), sind nur ein Teil des Problems. Ein breites Einfallstor für Angreifer verbirgt sich häufig in fehlerhaft umgesetzter Businesslogik. Daher betrachten wir auch die logische und die semantische Ebene sowie den richtigen Einsatz von verfügbaren Sicherheitstechniken (Ebenen 2, 4 und 5).

Unsere Tests betrachten die Anwendungssicherheit ganzheitlich!

  Ebene Inhalt (Beispiele)
5

Semantik
Schutz vor Täuschung und Betrug

Zum Beispiel:

  • Informationen ermöglichen Social Engineering-Angriffe
  • Gebrauch von Popups u.ä. erleichtern Phishing-Angriffe
  • Keine Absicherung für den Fall der Fälschung der Website
4 Logik
Absicherung von Prozessen und Workflows als Ganzes

 

Zum Beispiel:

  • Verwendung unsicherer Email in einem ansonsten gesicherten Workflow
  • Angreifbarkeit des Passworts durch nachlässig gestaltete "Passwort vergessen"-Funktion
  • Die Verwendung sicherer Passworte wird nicht erzwungen
3 Implemen-
tierung
Vermeiden von Programmierfehlern, die zu Schwachstellen führen

 

Zum Beispiel:

  • Cross-Site Scripting
  • SQL-Injection
  • Session Riding
2 Technologie
Richtige Wahl und sicherer Einsatz von Technologie

 

Zum Beispiel:

  • unverschlüsselte Übertragung sensitiver Daten
  • Authentisierungsverfahren, die nicht dem Schutzbedarf angemessen sind
  • Ungenügende Randomness von Token
1 System
Absicherung der auf der Systemplattform eingesetzten Software

 

Zum Beispiel:

  • Fehler in der Konfiguration des Webservers
  • "Known Vulnerabilities" in den eingesetzten Softwareprodukten
  • Mangelnder Zugriffsschutz in der Datenbank
0 Netzwerk & Host Absicherung von Host und Netzwerk

Ergebnisbericht

Als Ergebnis erhalten Sie einen umfassenden Report, der die Testfälle und gefundenen Probleme leicht nachvollziehbar darstellt und Auskunft über das Gefährdungs- und Bedrohungspotential liefert. Darüber hinaus geben wir detaillierte Hinweise zu deren Behebung. Unsere Reports haben typischerweise einen Umfang von 50 bis 100 Seiten.

Bewertungsverfahren

Bewertungsverfahren

Die durchgeführten Tests wurden jeweils mit einem Gefahrenpotential (Schwere der Schwachstelle) und einer Eintrittswahrscheinlichkeit (Wahrscheinlichkeit, die Schwachstelle zu finden und auszunutzen) bewertet.

Beim Gefahrenpotential bewerten wir mit einer eingängigen Ampelbewertung in hoch, mittel und niedrig.

Die Eintrittswahrscheinlichkeit gibt an, wie leicht es für einen Angreifer ist, die Schwachstelle zu entdecken und auszunutzen:

[+] wenig Kenntnisse erforderlich, leicht zu finden und leicht auszunutzen

[o] gute Kenntnisse erforderlich, nur mit einigem Aufwand zu finden oder nur mit einigem Aufwand auszunutzen

[-] weitreichende Kenntnisse erforderlich, schwer zu finden oder schwer auszunutzen

Aufbau der Testergebnisse

Aufbau der Testergebnisse

Für jede Schwachstelle bzw. Angriffstechnik gibt es ein eigenes Unterkapitel. Aufgeführt werden jeweils:

Erklärung: Die Schwachstelle bzw. Angriffstechnik wird allgemeinverständlich erklärt. Ggf. mit Links zu weiterführenden Informationsquellen.

Angriffsszenario / Bedrohung: Falls erforderlich, schildern wir hier mögliche Szenarien der Ausnutzung der gefundenen Schwachstelle, um dem Leser die Möglichkeit zu geben, das Risiko zu bewerten. Hierbei legen wir einen Worst-Case Ansatz zugrunde, d. h. schildern im Zweifel das bedrohlichere Szenario. Diese Schilderung ist unabhängig von der Eintrittswahrscheinlichkeit.

Testfälle und Beispiele: Die durchgeführten Tests werden ausführlich beschrieben und mit Screenshots dokumentiert, so dass es für den Auftraggeber leicht ist, diese nachzuvollziehen und das Gefahrenpotential selbst beurteilen zu können.

Maßnahme: Wir geben, wo möglich, generelle Maßnahmen und Best Practices zur Lösung des gefundenen Problems an.

Auszug aus unserem Ergebnisreport

Auszug aus unserem Ergebnisreport

Siehe auch

Klassifizierungsschema zur Organisation von Sicherheit in Webanwendungen (SecureNet/BSI)

Open Web Application Security Project (OWASP) Testing Guide.