Webanwendungen verfügen zumeist über eine Anbindung ins Internet und sind damit von fast überall erreichbar. Zahlreiche Schnittstellen und Interaktionsmöglichkeiten bieten für Angreifer dabei vielfältige Angriffsmöglichkeiten - und der Schaden ist dabei zumeist recht groß: Datendiebstahl, ausgefallene Services und eine in Außenwirkung eher schlechte Reputation der jeweiligen Organisation.
Unser Ziel ist der individuelle, nicht automatisierte Penetrationstest. Bei der Identifizierung von Schwachstellen in Webanwendungen orientieren wir uns dabei an dem Open Web Application Security Project (OWASP), welches in unregelmäßigen Abständen eine Top 10 Liste der größten Sicherheitsrisiken für Webapplikationen heraugibt. Die OWASP Top 10 Schwachstellenliste prüfen wir dabei nicht mit automatisierten Tools, sondern testeten die jeweiligen Anwendungen händisch und individuell nach Relevanz und Plausibilität. So prüfen wir beispielsweise bei HTML-Dateien nicht zusätzlich nach SQL-Injections, da diese faktisch bei HTML-Dateien nicht auftreten. Nur so ist eine effektive, gezielte und unbemerkte Angriffssimulation möglich.
Außerdem zeichnet sich unsere Qualität und der daraus resultierende Nutzen des Penetrationstests im Wesentlichen dadurch aus, dass wir neben der standardisierten Prüfung der OWASP Top 10 Schwachstellenliste auch individuelle Vorgaben sowie technische Gegebenheiten berücksichtigen.
Der Großteil der Projektzeit wird in die intensive Informationsbeschaffung, Planung und Konzipierung der Angriffsszenarien sowie der Erstellung von Proof-of-Concepts (bspw. durch eigene Exploits) investiert. Die Teilautomatisierung von Findings - durch eigene/eingekaufte Tools und die Senkung der dadurch resultierenden Fehlerquote durch einzelne händisch stattfindende Prüfungen- lehnen wir grundsätzlich ab.
Unser Prüfverfahren ist im Vergleich zu teilautomatisierten Penetrationstests dabei nicht aufwendiger, sondern geht von einem qualitativ hochwertigerem Vorgehen und damit auch von einem hochwertigerem Ergebnis aus.