| (Web) Application Security Audit - eine detaillierte, technische Sicherheitsüberprüfung der (Web-)Anwendung
Der grösste Teil der heute ausnutzbaren Sicherheitslücken basiert auf Fehlern oder Schwachstellen von Anwendungen. Um ein höchstmögliches Mass an Sicherheit zu gewährleisten sollten Anwendungen regelmässig mittels eines Application Security Audits auf ihre Sicherheit überprüft werden.
Web Application Security Audit
Besonders Webanwendungen werden häufig zu den Opfern von Hackingangriffen. Über die Jahre hat sich die statische Webseite zu einer dynamischen Webanwendung gewandelt, die mittlerweile weit mehr als nur das Anzeigen von Textinhalten übernimmt. Heutzutage werden mittels einer Webseite komplexe Anwendungen wie SAP gesteuert aber auch heimische DSL-Router konfiguriert. Das Einsatzspektrum ist nahezu unbegrenzt. Eine derartige Flexibilität wurde jedoch nur durch viele technische Erweiterungen möglich, die zum Beispiel eine bidirektionale Benutzerkommunikation oder die Verwaltung von Benutzersessions erlauben. Doch jede Erweiterung erhöhte das Risiko von Schwachstellen in Webanwendungen.
Unsere Leistungen
Prüfung der Anwendung auf Sicherheitsschwachstellen
Bei einem Application Security Audit kommen gleiche bzw. ähnliche Techniken und Methoden zum Einsatz, wie sie auch bei einem realen Hackerangriff Verwendung finden. Je nach Ausprägung des Audits können u.A. folgende Prüfungen durchgeführt werden:
- Überprüfung der sicherheitskritischen Funktionen und Mechanismen
- Automatisiertes und manuelles Source Code Review
- Abgleich der definierten und der tatsächlich implementierten Funktionalität
Im Rahmen eines Web Application Security Audits wird die Webanwendung u.A. auf die “OWASP Top Ten Sicherheitsschwachstellen” bei Webanwendungen überprüft.
Das “Open Web Application Security Project” (OWASP) ist eine offene Community, welche sich dafür einsetzt, vertrauenswürdige Webanwendungen zu entwickeln, diese anzuschaffen, zu pflegen und zu warten. Die “OWASP Top Ten” stellen unter Experten für Websicherheit einen anerkannten Konsens (Standard) für die kritischsten Schwachstellen in Webanwendungen dar.
OWASP Top Ten
- Cross Site Scripting (XSS)
- Injection Flaws
- Malicious File Execution
- Insecure Direct Object Reference
- Cross Site Request Forgery (CSRF)
- Information Leakage an Improper Error Handling
- Broken Authentication and Session Management
- Insecure Cryptographic Storage
- Insecure Communications
- Failure to Restrict URL Access
Prüfung von Auswirkungen einer Schwachstelle auf die IT-Infrastruktur
Bei einem Web Application Security Audit werden Auswirkungen eines Hackerangriffs für IT-Infrastruktur überprüft. Dadurch können weitere Schwachstellen, auch über die Anwendung hinaus, identifizieren werden.
Prüfung aus verschiedenen Benutzer/Angreifer-Perspektiven
- Benutzer ohne besondere Zugriffsrechte (unprivilegierte Benutzer)
- Benutzer mit erweiterten Zugriffsrechten (privilegierte Benutzer)
Der Auftraggeber definiert den Informationsgrad beider Parteien (Tester und Administratoren/Anwender):
| Black Box |
Die Tester erhalten vorweg keinerlei Informationen über die zu prüfenden Systeme. Die Administratoren/Anwender der zu prüfenden Systeme werden über den anstehenden Audit informiert. Ziel ist es, Sicherheitslücken aufzuspüren und auszunutzen. |
| White Box |
Die Tester erhalten vorweg detaillierte Informationen über die zu prüfenden Systeme. Die Administratoren/Anwender der zu prüfenden Systeme werden über den anstehenden Audit informiert. Ziel ist die Simulation einer Attacke mit Insiderwissen. |
| Gray Box |
Die Tester erhalten vorweg teilweise Informationen über die zu prüfenden Systeme. Die Administratoren/Anwender der zu prüfenden Systeme werden über den anstehenden Audit informiert. Ziel ist die effiziente Projektdurchführung, indem verhindert wird, dass wertvolle Projektzeit verschwendet wird. |
Umfassende Reports
- Sie erhalten eine reale Einschätzung Ihres Bedrohungspotenzial
- Die Auditergebnisse werden von unseren Sicherheitsexperten so aufbereitet, dass für Sie direkt ersichtlich ist wo unmittelbarer Handlungsbedarf besteht
- Um mit der Behebung von Schwachstellen umgehend beginnen zu können, befinden sich Lösungsvorschläge zu jeder identifizierten Schwachstelle in unseren Auditreports
- Der Report kann optional OSSTMM-konform verfasst werden
Fragen die sich durch ein (Web) Application Security Audit beantworten lassen:
- Gibt es Schwachstellen in der (Web-)Anwendung?
- Entsprechen die Sicherungsmassnahmen dem “State of the Art”?
- Welche Angriffsmöglichkeiten hat ein Angreifer?
- Welche Risiken entstehen durch die (Web-)Anwendung für die weitere IT-Infrastruktur?
- Was kann getan werden um die Sicherheit der (Web-)Anwendung zu verbessern?
Das (Web) Application Security Audit gibt die Möglichkeit ein höchstmögliches Mass an Sicherheit zu gewährleisten. Durch entsprechende Massnahmen bewahren Sie die Benutzer der (Web-)Anwendung, die (Web-)Anwendung selbst, Ihre IT-Infrastruktur sowie Ihr Unternehmen vor den Auswirkungen eines Hackerangriffs.
Über das Audit hinaus
Zusammen mit dem Kunden ist uns daran gelegen, die Sicherheit von Webanwendungen stetig zu verbessern. Aus diesem Grund bietet OneConsult im Rahmen eines interaktiven Workshops, Schulungen zur sicheren Webentwicklung auf Grundlage des Open Web Application Security Project (OWASP) an. Darin wird das Sicherheitsbewusstsein der Webanwendungsentwickler geschärft. Des Weiteren lernen die Teilnehmer wie das Thema der Sicherheit bereits in Entwicklungsprozess integriert werden kann, um potenzielle Angriffsvektoren gleich von Beginn an auszuschliessen.
Haben wir Ihr Interesse geweckt? Gerne beantworten
wir Ihre Fragen in einem unverbindlichen Gespräch oder senden
Ihnen weitere Informationen. Wie Sie uns erreichen können,
erfahren Sie hier. Unsere Mitarbeiter referieren und schreiben
regelmässig über Application Security.
Die zugehörigen Präsentationen und die in der Fachpresse
publizierten Artikel finden sich hier.
Weiterführende Informationen
| 
