Web Applikation Penetrationstest
Unser Penetrationstest Web Applikation prüft Manipulationsmöglichkeiten Ihrer Web-/Internetapplikationen. Dabei kann es sich um eine einfache Internetpräsenz, ein Shop System oder ein komplexes B2B-Portal handeln.
Speziell Internetapplikationen sind permanent im Visier von Script-Kiddies, Hackern und professionellen kriminellen Gruppierungen, da diese aufgrund ihrer permanenten Erreichbarkeit und häufig auftretenden Sicherheitslücken ein einfaches und z.T. auch lukratives Ziel darstellen.
Die Schäden, die durch Manipulationen angerichtet werden können sind vielfältig. Grundsätzlich lassen sich Bedrohungen, die durch Angriffe auf Internet Applikationen entstehen können, in drei Klassen einstufen:
1. Schäden durch Verlust der Verfügbarkeit (häufig DOS/DDOS) – Angreifer versuchen gezielt oder ungezielt die Verfügbarkeit der Internet Applikation zu beeinträchtigen oder vollständig zu unterbinden. Dadurch können die Internet Applikationen nicht mehr erreicht werden.
2. Vertraulichkeit – z.B. wenn Kundendaten, Zahlungsverkehrsdaten usw. aus geschützten Datenbanken ausgelesen werden
3. Authentizität – z.B. wenn Dritte über manipulierte Internet Applikationen Schadsoftware wie Viren oder illegale Daten [Tauschbörse, Kinderpornographie usw.] verteilen. Im Falle der Verteilung von Schadsoftware kann ein erheblicher Haftungsanspruch an Geschädigte entstehen.
Gerne senden wir Ihnen eine aussagekräftige Leistungsbeschreibung über den Web Applikation Penetrationstest zu oder erstellen Ihnen eine detallierte Prüfungsplanung nebst Angebot.
.................................................................................................................
Die Praxis zeigt es täglich, Sicherheitslücken bieten sich zuhauf: Was ist also zu tun? Denken Sie einfach immer daran: Wer sich das Risiko bewusst macht, hat den ersten Schritt zu mehr Sicherheit getan.
Wir freuen uns, wenn Sie auch den zweiten Schritt gehen und mit 8com in Kontakt treten:
Ihre Ansprechpartner:
Beate Frenzel, Tel: +49 (0) 63 21 / 48 446 – 11
beate.frenzel(at)8com.de
.................................................................................................................
Auszug aus unseren Prüfmodulen Web Applikation Pentest
Um Ihnen einen kleinen Einblick in die möglichen Testbereiche zu gewähren, haben wir Ihnen hier einen Auszug aus unseren Prüfmodulen gefügt:
Modul: Data Validation
In der Kategorie "Data Validation Weakness" finden sich die häufigsten und meist auch schwerwiegendsten Sicherheitslücken von Webanwendungen. Viele dieser Schwachstellen werden von Kriminellen ausgenutzt, um beispielsweise über fremde Webseiten Schadsoftware (Viren, Würmer, Trojaner) zu verteilen oder Zugriff auf sensible Kundendaten (z.B. Kreditkarteninformationen usw.) zu nehmen.
• Reflected, Stored und DOM based - Cross Site Scripting, Cross Site Flashing
• SQL Injection
• Datenbankprüfung: Oracle, MySQL, MS-SQL, MS Access, PostgreSQL
• LDAP, ORM, XML, SSI, XPath, IMAP/SMTP und Code Injection
• OS Commanding
• Buffer-, Heap, Stack-Overflow
• Format string
• Incubated vulnerability testing
• HTTP Splitting/Smuggling
Modul: Authentifizierung
Die Authentifizierung stellt sicher, dass nur die gewünschten Benutzer Zugriff z.B. auf Benutzerkonten oder Administrationskonten von Webshops usw. erhalten. Leider werden auch hier häufig kritische Fehler gemacht die es Kriminellen ermöglichen, die Authentifizierungsdaten zu erraten und zu umgehen!
• Transportsicherheit der Benutzeranmeldedaten
• User Enumeration
• Standbenutzerkonto oder "guessable" Benutzerkonten
• Brute Force
• Umgehen des Authentifizierungsschemas
• Kennworterinnerungs- und Zurücksetzfunktion
• Logout and Browser Cache Management
• Captcha
• Multiple factors Authentication
• Race Conditions
Session Management
Das Session Management ist der Herz einer Webanwendung, in der Benutzer sich authentifzieren können. Finden hier Kriminelle z.B. eine Möglichkeit, die Session eines angemeldeten Benutzers zu übernehmen, so könnten diese alle Aktionen durchführen, für die der Benutzer berechtigt ist.
• Session Management Schema
• Cookies attributes
• Session Fixation
• Exposed Session Variables
• CSRF
Modul: Authorization
Im Modul Authorization wird geprüft, ob Zugriff auf Bereiche der Webanwendung oder des darunterliegenden Betriebsystems genommen werden kann, auf das ein Zugriff nicht vorhergesehen ist.
• Path Traversal
• Bypassing Authorization Schema
• Privilege Escalation
Denial of Service Prüfung
Britische Internet-Wettbüro-Betreiber waren die ersten Opfer professioneller Online Erpresser. Mit gezielten Denial of Service Angriffen wurden deren Internet Portale manipuliert und waren für potentielle Kunden nicht mehr erreichbar. In diesem Prüfmodul wird kontrolliert, ob Webanwendungen für solche Angriffe anfällig sind.
• Testing for SQL Wildcard Attacks
• Locking Customer Accounts
• Buffer Overflows
• User Specified Object Allocation
• User Input as a Loop Counter
• Writing User Provided Data to Disk
• Failure to Release Resources
• Storing too Much Data in Session
.................................................................................................................
Die Praxis zeigt es täglich, Sicherheitslücken bieten sich zuhauf: Was ist also zu tun? Denken Sie einfach immer daran: Wer sich das Risiko bewusst macht, hat den ersten Schritt zu mehr Sicherheit getan.
Wir freuen uns, wenn Sie auch den zweiten Schritt gehen und mit 8com in Kontakt treten:
Ihre Ansprechpartner:
Beate Frenzel, Tel: +49 (0) 63 21 / 48 446 – 11
beate.frenzel(at)8com.de
Unser Penetrationstest Web Applikation prüft Manipulationsmöglichkeiten Ihrer Web-/Internetapplikationen. Dabei kann es sich um eine einfache Internetpräsenz, ein Shop System oder ein komplexes B2B-Portal handeln.
Speziell Internetapplikationen sind permanent im Visier von Script-Kiddies, Hackern und professionellen kriminellen Gruppierungen, da diese aufgrund ihrer permanenten Erreichbarkeit und häufig auftretenden Sicherheitslücken ein einfaches und z.T. auch lukratives Ziel darstellen.
Die Schäden, die durch Manipulationen angerichtet werden können sind vielfältig. Grundsätzlich lassen sich Bedrohungen, die durch Angriffe auf Internet Applikationen entstehen können, in drei Klassen einstufen:
1. Schäden durch Verlust der Verfügbarkeit (häufig DOS/DDOS) – Angreifer versuchen gezielt oder ungezielt die Verfügbarkeit der Internet Applikation zu beeinträchtigen oder vollständig zu unterbinden. Dadurch können die Internet Applikationen nicht mehr erreicht werden.
2. Vertraulichkeit – z.B. wenn Kundendaten, Zahlungsverkehrsdaten usw. aus geschützten Datenbanken ausgelesen werden
3. Authentizität – z.B. wenn Dritte über manipulierte Internet Applikationen Schadsoftware wie Viren oder illegale Daten [Tauschbörse, Kinderpornographie usw.] verteilen. Im Falle der Verteilung von Schadsoftware kann ein erheblicher Haftungsanspruch an Geschädigte entstehen.
Gerne senden wir Ihnen eine aussagekräftige Leistungsbeschreibung über den Web Applikation Penetrationstest zu oder erstellen Ihnen eine detallierte Prüfungsplanung nebst Angebot.
.................................................................................................................
Mehr digitale Sicherheit beginnt mit zwei einfachen Schritten ...
Die Praxis zeigt es täglich, Sicherheitslücken bieten sich zuhauf: Was ist also zu tun? Denken Sie einfach immer daran: Wer sich das Risiko bewusst macht, hat den ersten Schritt zu mehr Sicherheit getan.
Wir freuen uns, wenn Sie auch den zweiten Schritt gehen und mit 8com in Kontakt treten:
Ihre Ansprechpartner:
Beate Frenzel, Tel: +49 (0) 63 21 / 48 446 – 11
beate.frenzel(at)8com.de
.................................................................................................................
Auszug aus unseren Prüfmodulen Web Applikation Pentest
Um Ihnen einen kleinen Einblick in die möglichen Testbereiche zu gewähren, haben wir Ihnen hier einen Auszug aus unseren Prüfmodulen gefügt:
Modul: Data Validation
In der Kategorie "Data Validation Weakness" finden sich die häufigsten und meist auch schwerwiegendsten Sicherheitslücken von Webanwendungen. Viele dieser Schwachstellen werden von Kriminellen ausgenutzt, um beispielsweise über fremde Webseiten Schadsoftware (Viren, Würmer, Trojaner) zu verteilen oder Zugriff auf sensible Kundendaten (z.B. Kreditkarteninformationen usw.) zu nehmen.
• Reflected, Stored und DOM based - Cross Site Scripting, Cross Site Flashing
• SQL Injection
• Datenbankprüfung: Oracle, MySQL, MS-SQL, MS Access, PostgreSQL
• LDAP, ORM, XML, SSI, XPath, IMAP/SMTP und Code Injection
• OS Commanding
• Buffer-, Heap, Stack-Overflow
• Format string
• Incubated vulnerability testing
• HTTP Splitting/Smuggling
Modul: Authentifizierung
Die Authentifizierung stellt sicher, dass nur die gewünschten Benutzer Zugriff z.B. auf Benutzerkonten oder Administrationskonten von Webshops usw. erhalten. Leider werden auch hier häufig kritische Fehler gemacht die es Kriminellen ermöglichen, die Authentifizierungsdaten zu erraten und zu umgehen!
• Transportsicherheit der Benutzeranmeldedaten
• User Enumeration
• Standbenutzerkonto oder "guessable" Benutzerkonten
• Brute Force
• Umgehen des Authentifizierungsschemas
• Kennworterinnerungs- und Zurücksetzfunktion
• Logout and Browser Cache Management
• Captcha
• Multiple factors Authentication
• Race Conditions
Session Management
Das Session Management ist der Herz einer Webanwendung, in der Benutzer sich authentifzieren können. Finden hier Kriminelle z.B. eine Möglichkeit, die Session eines angemeldeten Benutzers zu übernehmen, so könnten diese alle Aktionen durchführen, für die der Benutzer berechtigt ist.
• Session Management Schema
• Cookies attributes
• Session Fixation
• Exposed Session Variables
• CSRF
Modul: Authorization
Im Modul Authorization wird geprüft, ob Zugriff auf Bereiche der Webanwendung oder des darunterliegenden Betriebsystems genommen werden kann, auf das ein Zugriff nicht vorhergesehen ist.
• Path Traversal
• Bypassing Authorization Schema
• Privilege Escalation
Denial of Service Prüfung
Britische Internet-Wettbüro-Betreiber waren die ersten Opfer professioneller Online Erpresser. Mit gezielten Denial of Service Angriffen wurden deren Internet Portale manipuliert und waren für potentielle Kunden nicht mehr erreichbar. In diesem Prüfmodul wird kontrolliert, ob Webanwendungen für solche Angriffe anfällig sind.
• Testing for SQL Wildcard Attacks
• Locking Customer Accounts
• Buffer Overflows
• User Specified Object Allocation
• User Input as a Loop Counter
• Writing User Provided Data to Disk
• Failure to Release Resources
• Storing too Much Data in Session
.................................................................................................................
Mehr digitale Sicherheit beginnt mit zwei einfachen Schritten ...
Die Praxis zeigt es täglich, Sicherheitslücken bieten sich zuhauf: Was ist also zu tun? Denken Sie einfach immer daran: Wer sich das Risiko bewusst macht, hat den ersten Schritt zu mehr Sicherheit getan.
Wir freuen uns, wenn Sie auch den zweiten Schritt gehen und mit 8com in Kontakt treten:
Ihre Ansprechpartner:
Beate Frenzel, Tel: +49 (0) 63 21 / 48 446 – 11
beate.frenzel(at)8com.de
Penetrationstests
Perimeter Penetrationstest
Unsere Perimeter Penetrationstests prüfen die Manipulationsmöglichkeiten von Systemen, die direkt aus dem Internet erreichbar sind.. . . weitere Infos
Unsere Perimeter Penetrationstests prüfen die Manipulationsmöglichkeiten von Systemen, die direkt aus dem Internet erreichbar sind.. . . weitere Infos
Corporate Network Penetrationstest
überprüfung der internen Sicherheit der IT-Systeme von Unternehmen.. . . weitere Infos
überprüfung der internen Sicherheit der IT-Systeme von Unternehmen.. . . weitere Infos
Client-Side Penetrationstest
Prüfung, ob Angriffe auf Unternehmensnetzwerke über das Internet unter Umgehung der Firewallschutzfunktionen möglich sind.. . . weitere Infos
Prüfung, ob Angriffe auf Unternehmensnetzwerke über das Internet unter Umgehung der Firewallschutzfunktionen möglich sind.. . . weitere Infos
Web Applikation Penetrationstest
Prüfung von Web Applikationen auf Manipulationsmöglichkeiten.. . . weitere Infos
Prüfung von Web Applikationen auf Manipulationsmöglichkeiten.. . . weitere Infos
© 2009 8COM GMBH & CO. KG