Definition
Ein App-Penetrationstest befasst sich mit der Bewertung der Sicherheit von mobilen Applikationen für die Betriebssysteme:
- Android und
- iOS.
DriveByte setzt bei der Prüfung mobiler Applikationen auf den bewährten und regelmäßig aktualisierten OWASP "Mobile Security Testing Guide".
Ein Pentester überprüft offizielle, inoffizielle und selbst-entwickelte mobile Applikationen auf Schwachstellen, indem erreichbare Schnittstellen, Benutzereingaben und andere Komponenten dieser Applikationen systematisch getestet und untersucht werden.
Voraussetzungen
Damit ein Penetrationstest reibungslos und erfolgreich durchgeführt werden kann, müssen einige organisatorische und technische Vorbereitungen getroffen werden.
Prüfobjekt
Durch die Einführung des Hacker-Paragraphs (§202c StGB) ist ein „Ethical-Hacker“ dazu verpflichtet im Vorhinein mit dem Auftraggeber das Prüfobjekt festzulegen.
Prüftiefe
Penetrationstests können unterschiedlich und je nach Situation mehr oder weniger invasiv gestaltet werden. DriveByte bietet drei vom BSI definierte Prüftiefen für Penetrationstests an.
Prüfort
Der Prüfort einer iOS oder Android Applikation praktisch immer remote. Physischer Zugang zu Kundenstandorten etc. ist nicht erforderlich.
Prüfbedingungen
Verschiedene Prüfbedingungen können für alle oder einzelne Prüfobjekte festgelegt werden. Die Prüfbedingungen können vom Kunden detailliert, frei diktiert und verbindlich in der Vorlage festgehalten werden.
Prüfzeitraum
Für eine effiziente Ausführung eines Penetrationstests wird ein geregelter und vorher definierter Prüfzeitraum vorausgesetzt. Der Kunde setzt je nach Wunsch, aber auch nach Verfügbarkeit des Dienstleisters, den Prüfzeitraum verbindlich in der Vorlage fest.
Verantwortlichkeiten
Für einen erfolgreichen Penetrationstest müssen Seitens Auftraggeber und Auftragnehmer verantwortliche für das durchzuführende Projekt festgelegt werden. Auf Seite des Auftraggebers müssen ein Projektleiter und ein technischer Ansprechpartner festgelegt werden.
Ablauf
DriveByte erkennt den Penetration Testing Execution Standard (PTES) als Referenzrahmen für die Durchführung von Penetrationstests an. Der PTES besteht aus sieben Hauptabschnitten:
startVorbereitungsphase
searchSammeln von Erkenntnissen
crisis_alertBedrohungsmodellierung
bug_reportSchwachstellenanalyse
dangerousAusnutzung
dynamic_feedSteuerung und Kontrolle
summarizeBerichterstattung
Dokumentation
Die gefundenen Schwachstellen werden nach Kritikalität und betroffenen Teilprüfobjekte gruppiert und ausführlich dokumentiert. Für die Bewertung der gefundenen Schwachstellen verwendet DriveByte dem weit verbreitetem Industriestandard Common Vulnerability Scoring System (CVSS) in der Version 4.0.
descriptionBeschreibung Prüfobjekt
listAufzählung Prüfbedingungen
shortcutC-Level Zusammenfassung
startBeschreibung Vorgehensweise
terminalAufzählung Schwachstellen
flagHandlungsempfehlungen
Wissen Sie, wie es um die Sicherheit Ihrer Applikationen steht?
Sicherheitslücken in Ihrer Applikationen identifizieren und teure Folgen vermeiden. Jetzt kostenlos einen Beratungstermin vereinbaren.
Häufig gestellte Fragen
Wir beantworten Ihnen die wichtigsten Fragen im Voraus, damit Sie bestens informiert sind.
Was kostet ein App-Penetrationstest?
Was sind Black-, White- und Grey-Box Penetrationstests?
Wie lange dauert ein App-Penetrationstest?
Wird ein Penetrationstest den Geschäftsbetrieb beeinträchtigen?
Welche Voraussetzungen müssen für einen Penetrationstest geschaffen werden?
Was passiert, wenn eine Sicherheitslücke gefunden wurde?
Ist ein Penetrationstest eine einmalige Maßnahme?
Gibt es im Anschluss an den Test einen Abschlussbericht?