Web Application and Web-API Penetration Testing
Komplexe Webanwendungen und APIs bieten oftmals eine Vielzahl möglicher Angriffsvektoren und sind somit ein beliebtes Ziel für Angreifer. Um ein Bewusstsein für die Sicherheit von Webapplikationen zu schaffen, pflegt das Open Web Application Security Project (OWASP) eine Liste der 10 häufigsten Schwachstellen in Webanwendungen. Die aktuelle Version der OWASP Top 10 von 2021 gibt einen Einblick, welchen Gefahren Webanwendungen üblicherweise ausgesetzt sind:
- Broken Access Control
- Cryptographic Failures
- Injection
- Insecure Design
- Security Misconfiguration
- Vulnerable and Outdated Components
- Identification and Authentication Failures
- Software and Data Integrity Failures
- Security Logging and Monitoring Failures
- Server-Side Request Forging
Webapplikations-Penetrationstests helfen derartige Schwachstellen innerhalb solcher Anwendungen zu identifizieren und zu beheben. Um sicherzustellen, dass sämtliche Aspekte der zu untersuchenden Anwendung überprüft werden, orientiert sich unser Vorgehen am OWASP Web Security Testing Guide (WSTG), welcher eine Vielzahl von Testmodulen zur Verifizierung des OWASP Application Security Verification Standards (ASVS) enthält. Darüber hinaus überprüfen wir stets auch die darunterliegende IT-Infrastruktur hinsichtlich offener Ports, weiterer verwundbarer Services und TLS-Konfiguration.
OWASP Application Security Verification Standard (ASVS)
Bei einem Webapplikations-Penetrationstests prüfen wir Ihre Anwendung auf Compliance mit 283 Security Controls, welche im OWASP ASVS definiert sind. Dabei wird je nach Schutzbedarf Ihrer Anwendung auf Level 1 (Basis), Level 2 (erhöhter Schutzbedarf) oder Level 3 (maximaler Schutzbedarf) geprüft.
