Sicherheit für Ihre Webseiten, Shops und Internetportale
Wie sicher ist Ihre Internetpräsenz? Um dies zu bewerten, muss diese regelmäßig profesisonell geprüft werden. Abhängig vom Umfang der Internetpräsenz, kann eine Sicherheitsprüfung schon für wenige hundert Euro durchgeführt werden.
Internetprüfungen bieten wir von einmaligen Einzelprüfungen bis hin zu Prüfpaketen mit täglicher Sicherheitsüberwachung an.
Gerne beraten wir Sie unverbindlich über eine mögliche Prüfung Ihrer Webanwendung / Internetportal und freuen uns über Ihre Anfrage!
Ansprechpartnerin:
Beate Frenzel
beate.frenzel(at)8com.de
Telefon: +49 (0) 63 21 / 48 446 - 11
Telefax: +49 (0) 63 21 / 48 446 - 29
Modul 1:
automatisierte permanente Sicherheitsprüfung durch unsere Web-Security-Scanner
Modul 2:
Entdecken wir neue Sicherheitslücken oder werden neue Sicherheitslücken bekannt, für die auch Ihre Systeme anfällig sein könnten, prüfen wir umgehend Ihre Systeme auf die Ausnutzbarkeit dieser Sicherheitslücken.
Modul 3:
turnusmässige Prüfung durch unsere Sicherheitsspezialisten
Die automatisierte permanente Prüfung endeckt beispielsweise neue XSS-, SQL-Injection oder andere Sicherheitslücken zeitnah nach Bekanntwerden oder Entstehen durch Änderungen der Webapplikation. Die turnusmässig angesetzte manuelle mit "menschlicher Intelligenz" durchgeführte Prüfung deckt tiefergehende Schwachstellen auf!
modulare Sicherheitsprüfungen:
Gerne beraten wir Sie über die diversen Möglichkeiten einer einmaligen, turnusmäßigen oder permanenten Sicherheitsprüfung Ihrer Internetportale.
Auszug aus unseren Prüfmodulen
Um Ihnen einen kleinen Einblick in die möglichen Testbereiche zu gewähren, haben wir Ihnen hier einen Auszug aus unseren Prüfmodulen gefügt:
Modul: Data Validation
In der Kategorie "Data Validation Weakness" finden sich die häufigsten und meist auch schwerwiegendsten Sicherheitslücken von Webanwendungen. Viele dieser Schwachstellen werden von Kriminellen ausgenutzt, um beispielsweise über fremde Webseiten Schadsoftware (Viren, Würmer, Trojaner) zu verteilen oder Zugriff auf sensible Kundendaten (z.B. Kreditkarteninformationen usw.) zu nehmen.
• Reflected, Stored und DOM based - Cross Site Scripting, Cross Site Flashing
• SQL Injection
• Datenbankprüfung: Oracle, MySQL, MS-SQL, MS Access, PostgreSQL
• LDAP, ORM, XML, SSI, XPath, IMAP/SMTP und Code Injection
• OS Commanding
• Buffer-, Heap, Stack-Overflow
• Format string
• Incubated vulnerability testing
• HTTP Splitting/Smuggling
Modul: Authentifizierung
Die Authentifizierung stellt sicher, dass nur die gewünschten Benutzer Zugriff z.B. auf Benutzerkonten oder Administrationskonten von Webshops usw. erhalten. Leider werden auch hier häufig kritische Fehler gemacht die es Kriminellen ermöglichen, die Authentifizierungsdaten zu erraten und zu umgehen!
• Transportsicherheit der Benutzeranmeldedaten
• User Enumeration
• Standbenutzerkonto oder "guessable" Benutzerkonten
• Brute Force
• Umgehen des Authentifizierungsschemas
• Kennworterinnerungs- und Zurücksetzfunktion
• Logout and Browser Cache Management
• Captcha
• Multiple factors Authentication
• Race Conditions
Session Management
Das Session Management ist der Herz einer Webanwendung, in der Benutzer sich authentifzieren können. Finden hier Kriminelle z.B. eine Möglichkeit, die Session eines angemeldeten Benutzers zu übernehmen, so könnten diese alle Aktionen durchführen, für die der Benutzer berechtigt ist.
• Session Management Schema
• Cookies attributes
• Session Fixation
• Exposed Session Variables
• CSRF
Modul: Authorization
Im Modul Authorization wird geprüft, ob Zugriff auf Bereiche der Webanwendung oder des darunterliegenden Betriebsystems genommen werden kann, auf das ein Zugriff nicht vorhergesehen ist.
• Path Traversal
• Bypassing Authorization Schema
• Privilege Escalation
Denial of Service Prüfung
Britische Internet-Wettbüro-Betreiber waren die ersten Opfer professioneller Online Erpresser. Mit gezielten Denial of Service Angriffen wurden deren Internet Portale manipuliert und waren für potentielle Kunden nicht mehr erreichbar. In diesem Prüfmodul wird kontrolliert, ob Webanwendungen für solche Angriffe anfällig sind.
• Testing for SQL Wildcard Attacks
• Locking Customer Accounts
• Buffer Overflows
• User Specified Object Allocation
• User Input as a Loop Counter
• Writing User Provided Data to Disk
• Failure to Release Resources
• Storing too Much Data in Session
Gerne beraten wir Sie unverbindlich über eine mögliche Prüfung Ihrer Webanwendung / Internetportal und freuen uns über Ihre Anfrage!
8com GmbH & Co. KG
Ansprechpartnerin:
Beate Frenzel
beate.frenzel(at)8com.de
Telefon: +49 (0) 63 21 / 48 446 - 11
Telefax: +49 (0) 63 21 / 48 446 - 29
Wie sicher ist Ihre Internetpräsenz? Um dies zu bewerten, muss diese regelmäßig profesisonell geprüft werden. Abhängig vom Umfang der Internetpräsenz, kann eine Sicherheitsprüfung schon für wenige hundert Euro durchgeführt werden.
Internetprüfungen bieten wir von einmaligen Einzelprüfungen bis hin zu Prüfpaketen mit täglicher Sicherheitsüberwachung an.
Gerne beraten wir Sie unverbindlich über eine mögliche Prüfung Ihrer Webanwendung / Internetportal und freuen uns über Ihre Anfrage!
Ansprechpartnerin:
Beate Frenzel
beate.frenzel(at)8com.de
Telefon: +49 (0) 63 21 / 48 446 - 11
Telefax: +49 (0) 63 21 / 48 446 - 29
Beispiel: "Web-Pentest Standardpaket"
In unserem "Web-Pentest Standardpaket sind 3 Prüfmodule enthalten. Die Mindestlaufzeit beträgt hierbei 6 Monate.Modul 1:
automatisierte permanente Sicherheitsprüfung durch unsere Web-Security-Scanner
Modul 2:
Entdecken wir neue Sicherheitslücken oder werden neue Sicherheitslücken bekannt, für die auch Ihre Systeme anfällig sein könnten, prüfen wir umgehend Ihre Systeme auf die Ausnutzbarkeit dieser Sicherheitslücken.
Modul 3:
turnusmässige Prüfung durch unsere Sicherheitsspezialisten
Die automatisierte permanente Prüfung endeckt beispielsweise neue XSS-, SQL-Injection oder andere Sicherheitslücken zeitnah nach Bekanntwerden oder Entstehen durch Änderungen der Webapplikation. Die turnusmässig angesetzte manuelle mit "menschlicher Intelligenz" durchgeführte Prüfung deckt tiefergehende Schwachstellen auf!
modulare Sicherheitsprüfungen:
Gerne beraten wir Sie über die diversen Möglichkeiten einer einmaligen, turnusmäßigen oder permanenten Sicherheitsprüfung Ihrer Internetportale.
Auszug aus unseren Prüfmodulen
Um Ihnen einen kleinen Einblick in die möglichen Testbereiche zu gewähren, haben wir Ihnen hier einen Auszug aus unseren Prüfmodulen gefügt:
Modul: Data Validation
In der Kategorie "Data Validation Weakness" finden sich die häufigsten und meist auch schwerwiegendsten Sicherheitslücken von Webanwendungen. Viele dieser Schwachstellen werden von Kriminellen ausgenutzt, um beispielsweise über fremde Webseiten Schadsoftware (Viren, Würmer, Trojaner) zu verteilen oder Zugriff auf sensible Kundendaten (z.B. Kreditkarteninformationen usw.) zu nehmen.
• Reflected, Stored und DOM based - Cross Site Scripting, Cross Site Flashing
• SQL Injection
• Datenbankprüfung: Oracle, MySQL, MS-SQL, MS Access, PostgreSQL
• LDAP, ORM, XML, SSI, XPath, IMAP/SMTP und Code Injection
• OS Commanding
• Buffer-, Heap, Stack-Overflow
• Format string
• Incubated vulnerability testing
• HTTP Splitting/Smuggling
Modul: Authentifizierung
Die Authentifizierung stellt sicher, dass nur die gewünschten Benutzer Zugriff z.B. auf Benutzerkonten oder Administrationskonten von Webshops usw. erhalten. Leider werden auch hier häufig kritische Fehler gemacht die es Kriminellen ermöglichen, die Authentifizierungsdaten zu erraten und zu umgehen!
• Transportsicherheit der Benutzeranmeldedaten
• User Enumeration
• Standbenutzerkonto oder "guessable" Benutzerkonten
• Brute Force
• Umgehen des Authentifizierungsschemas
• Kennworterinnerungs- und Zurücksetzfunktion
• Logout and Browser Cache Management
• Captcha
• Multiple factors Authentication
• Race Conditions
Session Management
Das Session Management ist der Herz einer Webanwendung, in der Benutzer sich authentifzieren können. Finden hier Kriminelle z.B. eine Möglichkeit, die Session eines angemeldeten Benutzers zu übernehmen, so könnten diese alle Aktionen durchführen, für die der Benutzer berechtigt ist.
• Session Management Schema
• Cookies attributes
• Session Fixation
• Exposed Session Variables
• CSRF
Modul: Authorization
Im Modul Authorization wird geprüft, ob Zugriff auf Bereiche der Webanwendung oder des darunterliegenden Betriebsystems genommen werden kann, auf das ein Zugriff nicht vorhergesehen ist.
• Path Traversal
• Bypassing Authorization Schema
• Privilege Escalation
Denial of Service Prüfung
Britische Internet-Wettbüro-Betreiber waren die ersten Opfer professioneller Online Erpresser. Mit gezielten Denial of Service Angriffen wurden deren Internet Portale manipuliert und waren für potentielle Kunden nicht mehr erreichbar. In diesem Prüfmodul wird kontrolliert, ob Webanwendungen für solche Angriffe anfällig sind.
• Testing for SQL Wildcard Attacks
• Locking Customer Accounts
• Buffer Overflows
• User Specified Object Allocation
• User Input as a Loop Counter
• Writing User Provided Data to Disk
• Failure to Release Resources
• Storing too Much Data in Session
Gerne beraten wir Sie unverbindlich über eine mögliche Prüfung Ihrer Webanwendung / Internetportal und freuen uns über Ihre Anfrage!
8com GmbH & Co. KG
Ansprechpartnerin:
Beate Frenzel
beate.frenzel(at)8com.de
Telefon: +49 (0) 63 21 / 48 446 - 11
Telefax: +49 (0) 63 21 / 48 446 - 29
NEWS UND PRESSE
Der unsichtbare Wirtschaftskrieg
Spionage in deutschen Unternehmen - ein Bericht von Jürgen Berke, WirtschaftswocheLINK +
Spionage in deutschen Unternehmen - ein Bericht von Jürgen Berke, WirtschaftswocheLINK +
Wirtschaftsspionage
Mittelstand im Visier von Wirtschaftsspio-
nen. Lesen Sie mehr dazu im Handelsblatt!LINK +
Mittelstand im Visier von Wirtschaftsspio-
nen. Lesen Sie mehr dazu im Handelsblatt!LINK +
BKA-Präsident Jörg Ziercke: "Die Wirtschaft muss sich besser schützen!"
Lesen Sie mehr dazu im Handelsblatt!LINK +
Lesen Sie mehr dazu im Handelsblatt!LINK +
Firewall-Check
Unser gratis Firewall Check ist ONLINE!MEHR +
Unser gratis Firewall Check ist ONLINE!MEHR +
"Angriffe auf Firmennetze sind einfach hochlukrativ"
Interview mit Götz SchartnerLINK +
Interview mit Götz SchartnerLINK +
© 2009 8COM GMBH & CO. KG