Was ist das?

Webanwendungen, von der eigenen Homepage bis zu Verwaltungssystemen, sind mittlerweile ein fester Bestandteil in jeder IT-Umgebung. Da diese Anwendungen oftmals weitreichende Berechtigungen auf interne Informationen besitzen, eröffnen Sie den Unternehmen eine neue Welt, die jedoch nicht ohne Gefahren ist. Diese Gefahren entstehen durch Angreifer, die bekannte Schwachstellen in Webanwendungen oder APIs ausnutzen und sich damit Zugriff auf interne Ressourcen wie zum Beispiel Datenbanken ermöglichen. Der Web- und API- Penetrationstest fokussiert sich ausschließlich auf diese Anwendungen und nicht auf Netzwerke oder andersartige Infrastrukturen. Die Vorgehensweise und die Ziele zur Aufdeckung von Sicherheitsschwächen und zur Stärkung der Verteidigungsmechanismen sind identisch.

Unsere Vorgehensweise

  • Informationsgewinnung
  • Einsatz automatisierter und manueller Sicherheitsüberprüfungen mit manuellen und automatisierten Vulnerability- und Portscannern
  • Social Engineering Maßnahmen
  • Überprüfung üblicher Sicherheitslücken über das Internet und vor Ort
  • Überprüfung und Test der Anwendungen und Schnittstellen
    • Sicherheitseinstellungen
    • Konfigurationsmanagement
    • Fehlerbehandlung
    • Authentifizierung
    • Berechtigungssystem
    • Eingabevalidierung
    • Kryptographie
    • Patch- und Updatemanagement
    • Benutzerseitige Schwachstellen
  • Dokumentation und Erstellung von Empfehlungen zur Sicherheitssteigerung sowie eine Präsentation der Ergebnisse