Penetrationstest für Webanwendungen

Web Application Penetration Test, Webanwendungen auf Schwachstellen testen, OWASP

This page is also available in English.


Ein Web Application Penetration Test ist eine manuelle Sicherheitsanalyse einer Webanwendung und ihrer APIs mit Fokus auf die OWASP Top 10: Broken Access Control, Injection, Authentifizierungsfehler und Business-Logik-Schwachstellen.

Schwachstellen in Webanwendungen können sehr problematisch werden. Im schlimmsten Fall wird der komplette Webserver übernommen oder vertrauliche Kundendaten gestohlen. Daher ist es besonders wichtig, diese Anwendungen ausführlich zu testen.

Umfang

Webanwendungen werden auf die wichtigsten Schwachstellenklassen getestet, mit Fokus auf die OWASP Top 10. Dazu zählen:

  • Test der Zugriffskontrolle: Broken Access Control, Privilege Escalation, IDOR (Zugriff auf fremde Daten durch Ändern einer ID im Request)
  • Authentifizierungs- und Session-Schwachstellen: schwache Passwort-Reset-Abläufe, Session Fixation, JWT-Fehlkonfiguration
  • Injection-Angriffe: SQL Injection, Command Injection, SSTI
  • Server-Side Request Forgery (SSRF) und unsichere Deserialisierung
  • Business-Logik-Schwachstellen: Fehler im Ablauf der Anwendung, die automatisierte Scanner nicht erkennen, etwa das Überspringen eines Bezahl- oder Freigabeschritts
  • Fehlkonfigurationen: Security Headers, TLS-Einstellungen, Fehlermeldungen
  • Überprüfung von Drittkomponenten: veraltete Libraries, bekannte CVEs
  • Implementierung von Defense-in-Depth-Maßnahmen

Android-App-Testing ist auf Anfrage ebenfalls möglich.

Der genaue Testablauf und die getesteten Komponenten werden in einem Scoping-Termin besprochen.

Warum

  • Automatisierte Scanner finden die offensichtlichen Probleme. Zugriffskontroll- und Business-Logik-Schwachstellen, also genau die, die tatsächlich zu Datenlecks führen, brauchen einen menschlichen Tester
  • Ein einziger IDOR- oder Broken-Access-Control-Bug kann die gesamte Kundendatenbank offenlegen
  • Webanwendungen ändern sich laufend. Ein Test ist eine Momentaufnahme der Sicherheit, und regelmäßiges Testen deckt Regressionen durch neue Features auf

Warum VidraSec 🦦

Ich bin seit 2017 in Penetrationstests und Red Teaming tätig, und Webanwendungen gehören zu den häufigsten Einstiegspunkten, die ich teste. Manuelles Testen bedeutet, dass ich die Logik der Anwendung tatsächlich verstehe, statt mich auf Scanner-Signaturen zu verlassen. Genau dort liegen die Schwachstellen, die wirklich zählen.

Typische Dauer

3 bis 5 Tage Testing (abhängig von Größe und Komplexität der Anwendung). Die Berichtserstellung dauert typischerweise zusätzlich 30 bis 50 % der Testzeit.

Typischer Preis

ab 7.000 €

Der endgültige Preis richtet sich nach dem Umfang des Projekts und dem Reifegrad der IT-Sicherheit. Er wird auf Basis des erforderlichen Zeitaufwands individuell kalkuliert.

Leistungsumfang

Jedes Engagement umfasst:

  • Schriftlichen Ergebnisbericht mit allen Schwachstellen, nach Schweregrad priorisiert, mit Behebungsempfehlungen
  • Management Summary, abgestimmt auf deine Zielgruppe (technisch oder für die Geschäftsführung)
  • Live-Debriefing zur Besprechung der Ergebnisse und Beantwortung von Fragen
  • Nachtest nach Behebung der Schwachstellen auf Anfrage möglich

Sieh dir Beispielberichte an, um einen Eindruck von einem VidraSec-Bericht zu bekommen.

Compliance

Relevant für DSGVO (Schutz personenbezogener Kundendaten, die von der Anwendung verarbeitet werden) und ISO 27001.

Häufige Fragen

Ist der Test manuell oder automatisiert?

Er ist überwiegend manuell. Automatisierte Scans unterstützen die Arbeit, aber die Tiefe, insbesondere bei Zugriffskontrolle und Business-Logik-Schwachstellen, entsteht durch manuelles Testen eines erfahrenen Testers. Berichte enthalten kein Scanner-Rauschen.

Werden auch APIs und mobile Apps getestet?

Ja. REST- und GraphQL-APIs sind im Scope, und Android-App-Testing ist auf Anfrage möglich. Die genauen Komponenten werden im Scoping-Termin festgelegt.

Werden Zugangsdaten oder Quellcode benötigt?

Die meisten Engagements sind Greybox und nutzen gültige Benutzerkonten, um die Bereiche der Anwendung zu erreichen, in denen die interessanten Schwachstellen liegen. Quellcode ist nicht erforderlich, kann für eine tiefere Prüfung aber einbezogen werden.

Was kostet ein Web Application Penetration Test?

Ab 7.000 Euro. Der endgültige Preis richtet sich nach Größe und Komplexität der Anwendung und wird individuell auf Basis des Aufwands kalkuliert.

Verwandte Dienstleistungen

Zugehörige Blog Posts

martin​@​vidrasec.com

+43 670 3081275 (öffnet in neuem Tab)

+43 670 3081275

Termin auswählen (öffnet in neuem Tab)