Penetration Tests

Schwachstellen, die auf Programmierfehlern in Anwendungssoftware beruhen, unterscheiden sich grundlegend von Konfigurationsfehlern in Infrastrukturkomponenten. Sie entstehen bereits während der Entwicklung eines Produkts und nicht erst bei dessen fehlerhafter Anwendung. Der ausschließliche Einsatz von sicher entwickelter, nachweislich getesteter und aktueller Software ist daher für Unternehmen zwingend erforderlich.

Penetrationstests von kritischen Softwarekomponenten sind ein wichtiger Bestandteil jeder IT-Sicherheitsstrategie. Software-Sicherheitsexperten suchen nach typischen anwendungsbasierten Schwachstellen wie SQL-Injections, Cross-Site-Scripting oder Remote Code Execution (RCE) und unterstützen bei deren Beseitigung.

Wir bieten Anwendungs-Penetrationstests in allen typischen Ansätzen wie Blackbox, Graybox und Whitebox. Unsere Experten können auch umfassende Quellcode-Analysen durchführen und die Integration von sicheren Softwareentwicklungs- und Patch-Management-Prozessen unterstützen.

Web Application Penetration Testing

Moderne Webanwendungen bieten den Mehrwert nahezu unbegrenzter Funktionalitäten bei gleichzeitiger Plattformunabhängigkeit. Aufgrund ihrer hohen Komplexität und der oft kritischen Daten, die sie verarbeiten, sind Webanwendungen dennoch oft ein Einfallstor für schwerwiegende Cybersicherheitsvorfälle.

Der Penetrationstest einer Webanwendung umfasst je nach Ansatz folgende Testkomponenten:

• Sicherheitsüberprüfung der Webanwendung gemäß dem OWASP Web Security Testing Guide (WSTG) und Identifizierung typischer Web-Schwachstellen der OWASP Top 10
• Untersuchung der zugehörigen API / Web-Services und Identifizierung typischer API-Schwachstellen der OWASP API Top 10
• Untersuchung des Rollen- und Berechtigungskonzepts
• Quellcode-Analyse
• Penetrationstest der zugrunde liegenden Webserver-Infrastruktur
• Prüfung verbundener Systeme wie Backend-Datenbankservern

Native Application Penetration Testing

Native Desktop-Anwendungen für Windows, MacOS oder Linux bilden oft wichtige Geschäftsprozesse in Unternehmen ab. Aufgrund der Kritikalität der verarbeiteten Daten sowie der Kommunikation mit anderen Systemen bieten diese Anwendungen Angreifern oftmals die Möglichkeit, Rechte zu erweitern, die Kommunikation abzuhören und sogar das zugrunde liegende System komplett zu übernehmen.

Der Penetrationstest einer nativen Anwendung umfasst je nach gewähltem Ansatz die folgenden Testkomponenten:

• Sicherheitsüberprüfung der Anwendung und Identifizierung von anwendungsbasierten Schwachstellen wie SQL-Injection, DLL-Hijacking und hartkodierten sensiblen Informationen
• Statische/Dynamische Quellcode-Analyse
• Reverse Engineering
• Analyse des Datenverkehrs
• Prüfung verbundener Systeme wie Serveranwendungen und Backend-Datenbankservern

Mobile Application Penetration Testing

Im digitalen Zeitalter sind mobile Anwendungen wesentlicher Bestandteil des beruflichen Alltags. Sie bieten Komfort und Funktionalität auf verschiedenen Plattformen. Diese weit verbreitete Nutzung und die sensiblen Informationen, die sie oft verarbeiten, machen mobile Anwendungen jedoch zu einem bevorzugten Ziel für Cyber-Angreifer.

Unsere Testmethodik berücksichtigt Industriestandards und Best-Practices, um ein Höchstmaß an Sicherheit zu gewährleisten und umfasst folgendes:

• Penetrationstest der mobilen Anwendung auf der Grundlage des OWASP Mobile Security Testing Guide (MSTG) und Identifikation von Schwachstellen der OWASP Mobile Top 10.

• Untersuchung der zugehörigen API / Web-Services und Identifizierung typischer API-Schwachstellen der OWASP API Top 10.

• Bewertung der Authentifizierungs-, Autorisierungs- und Sitzungsverwaltungsmechanismen.
• Statische und dynamische Analyse des Quellcodes der mobilen Anwendung.
• Penetrationstests der mobilen Anwendungsumgebung, einschließlich der Untersuchung der Anwendung auf verschiedenen Geräten und Betriebssystemen, um plattformspezifische Schwachstellen zu ermitteln.
• Untersuchung externer Komponenten, die in die mobile Anwendung integriert sind, wie Backend-Server und Datenbanken.