IT-Security - Schützen Sie Ihre digitalen Assets!

Web Application and Web-API Penetration Testing

Komplexe Webanwendungen und APIs bieten oftmals eine Vielzahl möglicher Angriffsvektoren und sind somit ein beliebtes Ziel für Angreifer. Um ein Bewusstsein für die Sicherheit von Webapplikationen zu schaffen, pflegt das Open Web Application Security Project (OWASP) eine Liste der 10 häufigsten Schwachstellen in Webanwendungen. Die aktuelle Version der OWASP Top 10 von 2021 gibt einen Einblick, welchen Gefahren Webanwendungen üblicherweise ausgesetzt sind:

1. Broken Access Control
2. Cryptographic Failures
3. Injection
4. Insecure Design
5. Security Misconfiguration
6. Vulnerable and Outdated Components
7. Identification and Authentication Failures
8. Software and Data Integrity Failures
9. Security Logging and Monitoring Failures
10. Server-Side Request Forging

Um derartige Schwachstellen bzw. Zero-Day-Schwachstellen zu identifizieren und zu beheben, bieten wir von unseren ISO 27001 & IEC 62443 zertifizierten Beratern und Lead Auditoren sowie OSCP und OSWE zertifizierten Pentestern durchgeführte Webapplikations-Penetrationstests (offensive Security) an. Um sicherzustellen, dass sämtliche Aspekte der zu untersuchenden Anwendung überprüft werden, orientiert sich unser Vorgehen am OWASP Web Security Testing Guide (WSTG), welcher eine Vielzahl von Testmodulen zur Verifizierung des OWASP Application Security Verification Standards (ASVS) enthält. Darüber hinaus überprüfen wir stets auch die darunterliegende IT-Infrastruktur hinsichtlich offener Ports, weiterer verwundbarer Services und TLS-Konfiguration.

OWASP Application Security Verification Standard (ASVS)

Bei einem Webapplikations-Penetrationstests prüfen wir Ihre Anwendung auf Compliance mit 283 Security Controls, welche im OWASP ASVS definiert sind. Dabei wird je nach Schutzbedarf Ihrer Anwendung auf Level 1 (Basis), Level 2 (erhöhter Schutzbedarf) oder Level 3 (maximaler Schutzbedarf) geprüft.