Ziel

Ziel eines Web Application Reviews ist die Identifikation von Schwachstellen in einer Web-Anwendung oder einem Web-Service aus Sicht eines Angreifers. Durch die realitätsnahe Simulation eines Angriffs erhält der Kunde einen Überblick über die konkret vorhandenen Sicherheitslücken und Angriffswege, die einem potentiellen Angreifer zur Verfügung stehen und durch diesen ausgenutzt werden könnten. Dadurch erhält der Kunde die Möglichkeit auf die aktuelle Situation mit Gegenmassnahmen reagieren zu können.

Vorgehen

Vor Beginn des Projektes wird geklärt:

  • welche Web-Anwendung oder Service zu prüfen ist
  • wie und von wo getestet wird (beispielsweise extern oder intern)
  • wer im Projekt involviert ist (Systemadministratoren, Entwickler, etc.)
  • wie viele Informationen über die Web-Anwendung durch den Kunden bekannt gegeben werden
  • wie weit die identifizierten Schwachstellen ausgenutzt werden sollen

Die anschliessende Projektdurchführung ist in folgende Phasen unterteilt:

  • Kick-Off Meeting
  • Vorbereitung der Sicherheitsüberprüfung
  • Durchführung der Sicherheitsüberprüfung
    • Identifikation von OWASP Top 10 Schwachstellen
      • Abdeckung der zehn häufigsten Arten von Schwachstellen
  • Identifikation weiterer Schwachstellen
    • Anwendungs- und technologiespezifische Angriffe, die nicht in den OWASP Top 10 enthalten sind
  • Hauptsächlich manuelle Überprüfung der Anwendung sowie kontrollierte automatisierte Prüfungen wo sinnvoll
    • Durch eine manuelle Prüfung der Anwendung können Risiken, die bei automatisierten Prüfungen vorhanden sind, minimiert werden. Der Security Analyst automatisiert Teilaufgaben der Prüfung nur dort, wo es sinnvoll und wirtschaftlich ist
  • Dokumentation
  • Abschlussbesprechung oder Abschlusspräsentation

Resultat

Am Ende eines Web Application Reviews erhält der Kunde einen Bericht, in welchem ihm aufgezeigt wird, welche Sicherheitsmängel in den zuvor definierten Web Anwendungen oder Web Services vorgefunden wurden. Damit der Kunde in der Lage ist, angemessen auf diese reagieren zu können, enthält der Bericht zu jeder identifizierten Schwachstelle folgende Informationen:

  • was die Schwachstelle ist
  • was ein Angreifer durch das Ausnutzen dieser erreichen kann
  • wie die Schwachstelle behoben werden kann respektive angebrachte Gegenmassnahmen
  • Einschätzung der Kritikalität der Schwachstelle
  • die technischen Details zu der Schwachstelle, damit der Kunde diese reproduzieren kann
Back to top