Definition
Ein Web-Penetrationstest konzentriert sich auf:
- Webseiten und
- Webanwendungen,
unabhängig davon, ob diese selbst oder extern gehostet werden. Jede Art von Webseite und Webanwendung kann getestet werden, einschließlich Extra-, Intra- und Internet erreichbare Webseiten und Webanwendungen.
Ein Pentester verwendet öffentlich verfügbare, kommerzielle und selbst entwickelte Frameworks und Tools, um die Schwachstellen und das Ausnutzungspotenzial der getesteten Webseite oder Webanwendung gründlich zu analysieren. Dabei orientieren wir uns selbstverständlich an den gängigen und regelmäßig aktualisierten Standards zur Websicherheit wie beispielsweise den OWASP-Top-10 (Open Web Application Security Project).
Voraussetzungen
Damit ein Penetrationstest reibungslos und erfolgreich durchgeführt werden kann, müssen einige organisatorische und technische Vorbereitungen getroffen werden.
Prüfobjekt
Durch die Einführung des Hacker-Paragraphs (§202c StGB) ist ein „Ethical-Hacker“ dazu verpflichtet im Vorhinein mit dem Auftraggeber das Prüfobjekt festzulegen.
Prüftiefe
Penetrationstests können unterschiedlich und je nach Situation mehr oder weniger invasiv gestaltet werden. DriveByte bietet drei vom BSI definierte Prüftiefen für Penetrationstests an.
Prüfort
Für einzelne Prüfobjekte oder für das Projekt allgemein, muss der Prüfort festgelegt werden. In den meisten Fällen ist es bei Penetrationstests durch Einsatz eines „Jump-Host“ möglich, alle Prüfobjekte über das Internet zu überprüfen, somit ist die physische Präsenz eines Pentesters nicht notwendig..
Prüfbedingungen
Verschiedene Prüfbedingungen können für alle oder einzelne Prüfobjekte festgelegt werden. Die Prüfbedingungen können vom Kunden definiert und verbindlich in der Vorlage festgehalten werden.
Prüfzeitraum
Für eine effiziente Ausführung eines Penetrationstests wird ein geregelter und vorher definierter Prüfzeitraum vorausgesetzt. Der Kunde setzt je nach Wunsch, aber auch nach Verfügbarkeit des Dienstleisters den Prüfzeitraum verbindlich in der Vorlage fest.
Verantwortlichkeiten
Für einen erfolgreichen Penetrationstest müssen Seitens Auftraggeber und Auftragnehmer verantwortliche für das durchzuführende Projekt festgelegt werden. Auf Seite des Auftraggebers müssen ein Projektleiter und ein technischer Ansprechpartner festgelegt werden.
Ablauf
DriveByte erkennt den Penetration Testing Execution Standard (PTES) als Referenzrahmen für die Durchführung von Penetrationstests an. Der PTES besteht aus sieben Hauptabschnitten:
startVorbereitungsphase
searchSammeln von Erkenntnissen
crisis_alertBedrohungsmodellierung
bug_reportSchwachstellenanalyse
dangerousAusnutzung
dynamic_feedSteuerung und Kontrolle
summarizeBerichterstattung
Dokumentation
Die gefundenen Schwachstellen werden nach Kritikalität und betroffenen Teilprüfobjekte gruppiert und ausführlich dokumentiert. Für die Bewertung der gefundenen Schwachstellen verwendet DriveByte dem weit verbreitetem Industriestandard Common Vulnerability Scoring System (CVSS) in der Version 4.0.
descriptionBeschreibung Prüfobjekt
listAufzählung Prüfbedingungen
shortcutC-Level Zusammenfassung
startBeschreibung Vorgehensweise
terminalAufzählung Schwachstellen
flagHandlungsempfehlungen
Wissen Sie, wie es um die Sicherheit Ihrer Webanwendung steht?
Sicherheitslücken in Ihrer Webanwendung identifizieren und teure Folgen vermeiden. Jetzt kostenlos einen Beratungstermin vereinbaren.
Häufig gestellte Fragen
Wir beantworten Ihnen die wichtigsten Fragen im Voraus, damit Sie bestens informiert sind.
Was kostet ein Web-Penetrationstest?
Was sind Black-, White- und Grey-Box Penetrationstests?
Wie lange dauert ein Web-Penetrationstest?
Wird ein Penetrationstest den Geschäftsbetrieb beeinträchtigen?
Welche Voraussetzungen müssen für einen Penetrationstest geschaffen werden?
Wie unterscheidet sich der Penetrationstest von der Schwachstellenanalyse?
Was passiert, wenn eine Sicherheitslücke gefunden wurde?
Ist ein Penetrationstest eine einmalige Maßnahme?
Gibt es im Anschluss an den Test einen Abschlussbericht?