Web Application Penetration Assessment

Finden Sie Schwachstellen auf Ihrer Webseite

Nächste Schritte:

Overview

Nach einer Schätzung des US-amerikanischen National Institute of Standards and Technology liegen bis zu 92 Prozent der heutigen Schwachstellen in der Anwendungsschicht. Unsere Erfahrung hat gezeigt, dass neun von zehn Kunden mindestens eine schwerwiegende Schwachstelle haben, die zur Offenlegung von Kundendaten oder einer Gefährdung des kompletten Systems führen könnte. Foundstone Web Application Penetration Assessment bewertet das Eindringen in Web-Anwendungen und blickt aus der Sicht eines böswilligen Hackers auf eine Webseite. Dabei findet es die Schwachstellen, ehe sie ausgenutzt werden können.

Von Anfang an war Foundstone auf dem Gebiet der Web Application Penetration-Tests führend. Wir haben das Buch "Hacking Exposed: Web Applications" veröffentlicht und behaupten mit unserem neuesten Buch "How to Break Web Software" weiterhin unsere Rolle als Vordenker. Wir werden diesen Dienst weiterhin in unsere breiteren Angebote zur Software-Sicherheit integrieren und damit unseren Kunden helfen, sicherere Software zu entwickeln und zu produzieren.

Wir haben viele kostenlose Tools entwickelt und herausgebracht, die manche Testbereiche automatisieren. Dazu zählen das Tool SSLDigger zum Testen der Verschlüsselungsstärke und SSL-Konfiguration auf Web-Servern, das Tool CookieDigger zum Testen der Sicherheitsstärke von Sitzungs-Cookies und das Tool SiteDigger, mit dem Sie feststellen können, ob Suchmaschinen wie Google Teile Ihrer Online-Präsenz offenlegen.

Das Open Web Application Security Project (OWASP) ist de facto der Orientierungspunkt für dieses Thema. Zurzeit verfolgt Foundstone mehrere Schlüsselprojekte, darunter die Schaffung eines Standards für Testkriterien.

Wichtige Vorteile

  • Finden Sie vor den Hackern Lücken in produktiven Webseiten
  • Führen Sie eine Qualitätssicherung der Sicherheit durch, wenn Anwendungen in Produktion gehen
  • Erkennen Sie Risiken und ihre möglichen Auswirkungen auf Ihr Unternehmen
  • Verlassen Sie sich auf die Genauigkeit und Wirksamkeit einer ausführlichen, bestens eingeführten manuellen Testmethodik
  • Stellen Sie den Wissenstransfer zu Testmethoden, Problemen und deren Lösung sicher

Methodology

Wir kennen die erheblichen Einschränkungen von automatischen Testwerkzeugen wie Web-Anwendungsscannern. Daher führen wir fast all unser Testverfahren manuell durch und verifizieren sie auch manuell – alles mithilfe einer gut definierten, reproduzierbaren und konsistenten Methode. Wir verwenden automatische Tools nur in Bereichen der Bewertung, für die deren Genauigkeit und Wirksamkeit erwiesen ist (typischerweise weniger als 5 Prozent einer Aktion). Außerdem haben wir ein OWASP-Forschungsprojekt zur Bewertung der Leistungen solcher automatischen Tools gesponsert.

Ermittlung – Gemeinsam mit Ihnen verschaffen wir uns ein Bild von den geschäftlichen Auswirkungen verschiedener Funktionen, sodass wir das geschäftliche Risiko von entdeckten Schwachstellen qualifizieren und quantifizieren können.

Bewertung – Um sicherzustellen, dass alle entscheidenden Bereiche getestet werden, und um für Konsistenz und Reproduzierbarkeit zu sorgen, verwenden wir einen gemeinsamen Sicherheitsrahmen, der folgende Aspekte umfasst:

  • Authentifizierung
  • Autorisierung
  • Benutzerverwaltung
  • Sitzungsverwaltung
  • Datenvalidierung, darunter alle häufigen Angriffe wie Einschleusung von SQL-Code, Cross-Site-Scripting, Einschleusung von Befehlen, Client-seitige Validierung
  • Fehlerbehandlung und Ausnahmen-Management
  • Audits und Protokollierung

Berichterstattung und Lieferumfang – Am Ende des Einsatzes erstellen wir einen ausführlichen schriftlichen Bericht mit einer Zusammenfassung, in der die Ergebnisse und ihre Auswirkungen auf Ihr Unternehmen eingeordnet werden. Unsere einzelnen technischen Ergebnisse enthalten jeweils spezielle Einzelheiten und Empfehlungen zur Abhilfe.