Penetrationstest Webanwendung: Ist Ihre Webanwendung,  Website, Shop oder App sicher?

Bei dem Webanwendungs-Penetrationstest werden Webanwendungen, Shops und andere Portale auf deren Sicherheit getestet.

Web Penetration Testing: Web-Anwendungen, Web-Shops und Websites auf Herz und Nieren geprüft

Anwendungen, die interaktiv über das Internet eingesetzt und verwendet werden, nennt man Webanwendungen. Webanwendungen können in aller Regel über gewöhnliche Internetbrowser bedient und genutzt werden. Ein Webshop ist hierfür ein gutes und bekanntes Beispiel. Die Liste ist jedoch lang und auch Kundenverwaltungsportale, online Fotobuchsoftware, Server- und Dienstüberwachungssysteme gehören zu den gängigsten Webanwendungen.

Das Hauptmerkmal von Webanwendungen ist, dass sie interaktiv und von vielen Plattformen aus durch User bedient werden können. Gleichzeitig ist es auch möglich, den Kreis der Anwender einzuschränken oder freizugeben.

Im Webshop ist er Kreis der Benutzer viel größer als in den Fällen, wenn die Webanwendung lediglich als Akquise-Werkzeug für einen kleinen Anwenderkreis freigeschaltet ist. Dementsprechend steigt oder fällt auch das IT-Sicherheitsrisiko und damit die Anforderungen an die Absicherung der IT im Hintergrund.

Im Bereich Penetrationstests gibt es mittlerweile eine Unterteilung in Spezialgebiete. Beispielhaft kann hier ein sogenannter Penetratio Test genannt werden der bei Netzwerkdiensten (Webservices) durchgeführt wird. Netzwerkdienste werden eingesetzt, um in XML Mitteilungen auszutauschen und viele verwechseln sie oft mit herkömmlichen „Netzwerkdiensten“ wie DNS, DHCP oder Radius verwechselt. Sie funktionieren mit einer spezieller Web Services Description Language, kurz WSDL genannt, werden gesteuert vom Simple Object Access Protocol, kurz SOAP. Die individuellen Nutzungsmöglichkeiten und die Verwendungsweise des jeweiligen Webservices werden in der WSDL-Datei genau definiert.

Bei Penetrationstests hierzu muss meistens immer spezielle Software eingesetzt werden, die den Tester bei der Prüfung unterstützt. Jedoch ist es nicht machbar, bedingt durch das Prinzip der Webanwendungen, alle Fehlermöglichkeiten mittels Softwarelösungen zu überprüfen. Das ist nur durch manuelle Tests möglich, beispielsweise bei:

  • Fehlerhaften Vorgängen innerhalb von Zutrittskontrollen
  • Im Ablauf enthaltene logische Fehler
  • Attacken, die Veränderungen in einige Eingabe-Parameter hervorrufen
  • Designschwächen innerhalb der Webanwendungssoftware
  • Wenn die Testsoftware die Bedeutung der Daten nicht versteht, wie im Fall von Session-Injection-Angriffen
  • Datenlecks