Web Application Penetration Testing (WAPT)

Der Web Application Penetration Testing Service ist eine der von ISGroup angebotenen Dienstleistungen zur Applikationssicherheit (Application Security Assessment).

Web-Anwendungen sind zunemhend verbreitet, technisch immer höher entwickelt und darüber hinaus auch kritisch für jeglichen Web-basierten Business.

Die kritischen Komponenten eines Web-Portals, einer E-Commerce-Anwendung oder einer Web-Plattform. werden analysiert.

Mithilfe von manuellen Techniken und hunderten von geeigneten Werkzeugen ist der Tester in der Lage, offensichtliche und versteckte Probleme zu identifizieren.

Wie auch die Client/Server-Applikationen leiden die Webanwendungen generell unter einer unsachgemäßen Handhabung von Client-Anfragen und der fehlenden oder nicht ordnungsgemäßen Validierung und Kontrolle vonseiten des Entwicklers.

Angesichts der Beschaffenheit von Webanwenungen, sie sind vollständig freigelegt und zugänglich, erweist sich die "Sicherheit durch Unklarheit" (security through obscurity) als unmöglich und der notwendige Anwendungscode als resistent.

Zweitens verarbeiten Webapplikationen Daten aus HTTP-Requests, einem Protokoll, das eine Unmenge von unterschiedlichen Codierungen und Kapselungen ermöglicht.

Beschreibung

Eine Web Application Penetration Test ist eine Simulation eines Angreifers auf eine Website, Portal oder Webanwendung. Zu Beginn besteht die Testung aus Entdeckung und Identifizierung aller auf das Ziel ausgesetzten Ressourcen.

Parallel dazu führt der Tester eine Analyse der Business-Logik durch, um zu sicherzustellen, dass keine konzeptuellen Problematiken vorliegen.

An dieser Stelle, vor der Testung der Webapplikationen im eigentlichen Sinne, wird die Infrastruktur auf bekannte und unbekannte Sicherheitslücken untersucht.

Wenn einmal valide Angriffpunkte (entry points) identifiziert sind, wird zum Angriffsversuch übergeschritten, welcher die tiefstmögliche und umfassendste Beeinträchtigung zum Ziel hat.

Anschließend wird sowohl mithilfe von Tool als auch manuell jeder einzelne Parameter mit den Standardwerten getestet und die allgemeinen Angriffstechniken für die gegeben Plattform geprüft.

Anhand des erreichten Zugangslevels wird darauf abgezielt, nicht gestattete Aktionen durchzuführen, Daten aus dem Database-Backend abzurufen, Dateien oder Quellen vom Datenträger zu ziehen, Informationen zu modifizieren und woimmer möglich die volle Kontrolle über dasjenige und die jeweils angrenzende Geräte zu erlangen.

Output

Der Bericht ist ein einfaches und detailliertes Dokument, welches die Ergebnisse der Tätigkeit zusammenfasst. Er ist in drei verschiedene Teilbereiche unterteilt, wie bereits beschrieben:

Executive Summary
Zu Beginn des Berichts, und in der Länge nicht äber eine Seite hinausgehend, befindet sich die Zusammenfassung auf hohem Niveau, welche für das Management bestimmt ist.

Vulnerability Details
Der technische Teil, welcher im Detail die festgestellten Schwachstellen und ihre Auswirkungen beschreibt, richtet sich an den Security Manager.

Remediation Plan
Die technische Sektion mit präzisen Instruktionen zur Lösung der festgestellten Probleme richtet sich an den System Administrator.

Mit uns arbeiten ziemlich einfach ist, rufen Sie einfach die Nummer (+39) 045 4853232 oder eine E-Mail senden, so dass wir uns gegenseitig kennen lernen und über Ihre IT-Sicherheit Bedürfnisse zu besprechen.

Fordern Sie eine WAPT - Web Application Penetration Test dienstleistung

sales@isgroup.it