Application Penetration Assessment

Finden und beseitigen Sie Schwachstellen von Anwendungen

Nächste Schritte:

Overview

Warum sollten Sie zulassen, dass Hacker die Schwachstellen Ihrer Anwendungen finden? Lassen Sie Foundstone Ihre Sicherheitsschwachenstellen zuerst finden und beheben. Foundstone kann den guten Ruf Ihres Unternehmen bewahren und Einnahmeverluste verhindern.

Nach einer Schätzung des US-amerikanischen National Institute of Standards and Technology liegen bis zu 92 Prozent der heutigen Schwachstellen in der Anwendungsschicht. Fast jede wichtige, heute eingesetzte Anwendung hat schon die Veröffentlichung einer kritischen Schwachstelle erlebt, die zu Umsatzverlusten sowie Rufschädigungen und verlorenem Kundenvertrauen führten. Application Penetration Assessment von Foundstone bewertet das Eindringen in Anwendungen und blickt aus der Sicht eines böswilligen Hackers auf eine Anwendung. Dabei findet es die Schwachstellen, ehe sie öffentlich gemacht und ausgenutzt werden können.

Wichtige Vorteile

  • Finden Sie vor den Hackern eventuelle Schwachstellen in Anwendungen
  • Führen Sie vor der Veröffentlichung von Anwendungen eine Qualitätssicherung durch
  • Lernen Sie Ihre Risiken und den möglichen Schaden für Ihr Unternehmen und Ihre Produkte kennen
  • Vertrauen Sie auf die Genauigkeit und Wirksamkeit unserer manuellen Tests
  • Stellen Sie aktiven Wissenstransfer zu Testmethoden, Problemen und deren Lösung sicher

Methodology

Der Test beginnt mit der statischen Überprüfung der ausführbaren Binärdateien und Bibliotheken, die die Anwendung bilden. Scans auf der Server-Ebene suchen nach bekannten Schwachstellen und häufigen Fehlkonfigurationen. Im Anschluss daran sammeln Penetration-Assessment-Berater Informationen über die Anwendung und suchen nach Schwachstellen im Informationsschutz, über die vertrauliche Informationen wie Kennwörter, kryptografische Schlüssel oder Kundeninformationen preisgegeben werden. Auf Grundlage dieser Daten führt Foundstone den Großteil der Tests durch, der aus folgenden Teilen besteht:

  • Test des Konfigurationsmanagements. Dabei werden auch sensible Informationen in den Konfigurationsdateien zutage gebracht. Außerdem wird nach Umgebungsdaten gesucht, die manipuliert werden können, um das Verhalten der Anwendung zu ändern, sowie geheime Daten und Texte in den Binärdaten der Anwendung oder im Arbeitsspeicher.
  • Untersuchung des Datenschutzes bei Speicherung und Übertragung, etwa wenn sensible Daten über das Netzwerk übermittelt oder auf einer Festplatte oder in einer Datenbank gespeichert werden.
  • Tests der Authentifizierung und Autorisierung, um Möglichkeiten zur Umgehung oder Rechteeskalation zu ermitteln.
  • Überprüfung des Sitzungs- und Zustandsmanagements auf Übernahme von Sitzungen und andere Angriffe dieser Art.
  • Tests der Datenvalidierung, um Probleme wie Einschleusung von SQL-Code und Buffer Overflows zu erkennen.
  • Tests der Fehlerbehandlung und des Ausnahme-Managements, die versuchen, einen Anwendungsabsturz herbeizuführen, sodass die Anwendung in einen unsicheren Zustand gerät oder über Crash-Dump-Dateien Informationen preisgibt.
  • Audit- und Protokollprüfungen, die versuchen, Audit-Protokolle zu verfälschen, falsche Protokolleinträge zu erzeugen, sensible Informationen in den Protokolldateien aufzufinden oder den Protokollmechanismus als Angriffsvektor zu benutzen.

Während all dieser Tests besteht das Hauptziel darin, die Server, Remote-Agenten und Clients zu beeinträchtigen. Darüber hinaus sucht Foundstone nach Schwachstellen von Anwendungen, die es einem Angreifer erlauben würden, Zugang zu dem darunter liegenden Betriebssystem oder dem nachgeschalteten Datenbanksystem zu gewinnen.