Security Audit
 
Consulting
 
Emergency Response
 
Computer Forensics
 
Training & Coaching
 
Security as a Service
Home
|
Dienstleistungen
|
Security Audit
|
Application Security Audit
Training

TRAINING & COACHING

Profitieren Sie von unserem Know-how: ISECOM OPST, OPSA und OPSE-Zertifizierungskurse, Practical Security Scanning-Kurse, Secure Web Development-Schulungen und zielgruppengerechtes Coaching. mehr

Application Security Audit

Gründliche, technische, unprivilegierte und privilegierte Sicherheitsüberprüfung einer Applikation und der zugehörigen Komponenten aus der Perspektive eines Angreifers mit Skill Level «Hacker / Cracker».

Der Application Security Audit ist ein simulierter, realitätsnaher Hackerangriff auf eine Applikation und ihre zugehörigen Systeme im Front- und Backend. Dabei können sowohl Web-Applikationen, Mobile Apps, Appliances als auch klassische Client-/Server Applikationen als ausführbare Programme oder als Source Code untersucht werden. Während der zur Verfügung stehenden Testzeit wird systematisch nach allen Sicherheitslücken gesucht. Im Gegensatz zum Security Scan und Penetration Test werden beim Application Security Audit auch privilegierte Tests durchgeführt - somit ist ein Application Security Audit ein Angriff aus der Insider-Perspektive. Ein Grossteil der anstehenden Arbeiten wird manuell erbracht und die Tester versetzen sich in die Rolle eines Hackers. Dabei setzen unsere Security Consultants die aktuellsten Methoden und Tricks ein, welche auch «echte» Hacker / Cracker einsetzen. Ausserdem enthält der Schlussbericht des Application Security Audits sowohl technische als auch organisatorische Massnahmenvorschläge.

Die Hauptunterschiede zwischen einem Application Security Audit und dem Ethical Hacking liegen darin, dass beim Application Security Audit in der zur Verfügung stehenden Zeit möglichst alle Sicherheitslücken aufgespürt werden und in das Untersuchungsobjekt eingedrungen, es aber nicht modifiziert wird (z.B. durch Veränderung der Konfiguration, der Daten in der Datenbank oder Einschleusen von Viren oder Trojanern).

Unsere Security Consultants haben für unsere Kunden hunderte technische Security Audits durchgeführt. Es folgt ein kleiner Auszug getesteter Technologien:

  • Client- und Server-Betriebssysteme: Microsoft Windows, Unix, Linux, Android, iOS, BlackBerry OS etc.
  • Implementierungen: Online Shops, Internet Banking Portale, Mobile Apps, Appliances, Mail- und Webserver, Active Directory und LDAP, SharePoint, IAM Systeme, VoIP, SAP, SQL Server, Oracle etc.
  • Server und Services

Vorgehen Application Security Audit

Application Security Audit

Neben den üblichen Techniken kommen beim Application Security Audit bei Bedarf auch folgende Testarten zum Einsatz:

  • Code Review
  • Reverse Engineering (Hardware und Software)
  • API Monitoring
  • Network Sniffing & Packet Analysis
  • Injection Tests

Der Auftraggeber definiert den Informationsgrad beider Parteien (Tester und Administratoren/Anwender der zu testenden Systeme):

  • Double Blind: Die Tester erhalten vorweg keinerlei Informationen über die zu prüfenden Systeme und die Administratoren/Anwender der zu prüfenden Systeme werden nicht über den anstehenden Audit informiert. Dies ist der realistischste Ansatz.
  • Blind: Die Administratoren/Anwender der zu prüfenden Systeme werden nicht über den anstehenden Audit informiert. Ziel ist es, die Reaktion des Security Teams des Kunden zu testen.
  • Black Box: Die Tester erhalten vorweg keinerlei Informationen über die zu prüfenden Systeme. Die Administratoren/Anwender der zu prüfenden Systeme werden über den anstehenden Audit informiert. Ziel ist es, Sicherheitslücken aufzuspüren und auszunutzen.
  • Grey Box: Die Tester erhalten vorweg teilweise Informationen über die zu prüfenden Systeme. Die Administratoren/Anwender der zu prüfenden Systeme werden über den anstehenden Audit informiert. Ziel ist die effiziente Projektdurchführung, indem verhindert wird, dass wertvolle Projektzeit verschwendet wird.
  • White Box: Die Tester erhalten vorweg detaillierte Informationen über die zu prüfenden Systeme. Die Administratoren/Anwender der zu prüfenden Systeme werden über den anstehenden Audit informiert. Ziel ist die Simulation einer Attacke mit Insiderwissen.

Die Ergebnisse liegen am Schluss in Form eines zielgruppengerechten, detaillierten (ca. 40 - 60 Seiten, exkl. Tool-generierten Reports und Rohdaten), üblicherweise OSSTMM-konformen Schlussberichts vor. Sämtliche Tool-generierten Reports und Rohdaten, sowie der Mitschnitt des Netzwerkverkehrs (Dump Files) und das Action Log (Protokoll des Testers bzw. der Tester) liegen auf einem Datenträger bei.

Der Funktionsumfang des Basismoduls Application Security Audit kann mit diversen optionalen Ergänzungsmodulen individuell erweitert werden.

Web Application Security Audit

Mittels eines Web Application Security Audit wird beispielsweise das Sicherheitsniveau von Internet Banking Systemen, Online Shops, SharePoint Plattformen oder VoIP Lösungen ermittelt.

Dabei überprüfen wir das Untersuchungsobjekt auf die «OWASP Top 10» Sicherheitsschwachstellen. Das «Open Web Application Security Project» (OWASP) ist eine offene Community, welche sich dafür einsetzt, vertrauenswürdige Webanwendungen zu entwickeln, anzuschaffen, zu pflegen und zu warten.

Die «OWASP Top 10» umfassen eine Auflistung der kritischsten Schwachstellen in Webanwendungen:

  • Injection
  • Cross-Site Scripting (XSS)
  • Weak Authentication and Session Management
  • Insecure Direct Object References
  • Cross-Site Request Forgery (CSRF)
  • Security Misconfiguration
  • Failure to Restrict URL access
  • Unvalidated Redirects and Forwards
  • Insufficient Cryptographic Storage
  • Insufficient Transport Layer Protection

Mobile App Security Audit

Mobile Applikationen für Smartphones und Tablets auf verschiedensten Plattformen wie beispielsweise Android, iOS, Windows Mobile oder BlackBerry OS untersuchen wir beim Mobile App Security Audit unter anderem auf die «OWASP Mobile Top 10» Sicherheitsschwachstellen:

  • Insecure Data Storage
  • Weak Server Side Controls
  • Insufficient Transport Layer Protection
  • Client Side Injection
  • Poor Authorization and Authentication
  • Improper Session Handling
  • Security Decisions Via Untrusted Inputs
  • Side Channel Data Leakage
  • Broken Cryptography
  • Sensitive Information Disclosure

System Hardening

Selbstverständlich unterstützen wir unsere Kunden auf Wunsch auch kompetent bei der Systemhärtung (z.B. mittels Security Patches, Konfigurationsänderungen oder Kernel-Modifikationen).

Security Audit Kompetenz

Unsere Mitarbeiter haben für unsere Kunden seit 2003 mehr als 450 technische Security Audits nach OSSTMM durchgeführt. Die OneConsult GmbH ist ISECOM Licensed Auditor (Platinum Level), ISECOM Partner (akkreditierter Schulungsanbieter) und das - an der Anzahl OSSTMM-konformer Security Audits gemessen - führende Unternehmen in Europa.