Web Schwachstellen Analyse
IT-Sicherheit ist ein komplexes Thema, das erklärungsbedürftige Vorgehensweisen mit sich bringt. Um Ihnen unsere Services verständlich zu erläutern, haben wir sie in einen alltäglichen Kontext gebracht. Die Protagonisten sind unsere Kellerhüter Maximilian und Amir.
"Amir ist aufgeregt, gleich kommt ein vielversprechender Bewerber für eine offene Stelle bei DriveByte. Da es sich um eine wichtige Schlüsselposition im Unternehmen handelt, muss der neue Mitarbeiter natürlich sorgfältig und mit Bedacht ausgewählt werden."
Kickoff
Erstes Treffen
Amir bereitet den Raum mit Getränken, Stiften und Papier vor. Vorbereitungen für den Penetrationstest werden auch in Ihrem Unternehmen getroffen. In diesem Zuge werden die zu überprüfenden Anwendungen und Benutzerkonten definiert und Zugriffswege abgestimmt.
Testphase
Hintergrundcheck
Die ersten Minuten des Vorstellungsgespräches sind vorbei. Wie Amir, testen nun auch unsere Experten alle besprochenen Objekte auf Schwachstellen. Abhängig von der technischen Umgebung werden dabei neue Exploits geschrieben oder bestehende genutzt.
Berichterstattung & Dokumentation
Pro & Kontra
Maximilian möchte wissen, wie das Gespräch gelaufen ist. Bei einer Tasse Kaffee beginnt Amir, seine Eindrücke in einer E-Mail zusammenzufassen. Von uns erhalten Sie keine E-Mail, sondern einen ausführlichen Bericht, Handlungsempfehlung und Management Zusammenfassung.
Präsentation & Unterstützung
Konfrontation
Der Kellerfunk bei DriveByte funktioniert wie immer gut. Aus jedem Büro drängen Fragen zu dem potentiellen Kandidaten. Auch unsere Experten beantworten Ihnen alle Fragen, präsentieren die Ergebnisse persönlich und unterstützen bei der Behebung aller Schwachstellen.
Technische Vorgehensweise
Die Web-Schwachstellenanalyse (WVA) konzentriert sich auf Websites und Webanwendungen, unabhängig davon, ob sie selbst oder extern gehostet werden. Jede Art von Website und Webanwendung kann getestet werden, einschließlich Extranet-, Intranet- und Internet-Einrichtungen. Der Offensiv-Experte nutzt eine große Anzahl öffentlich verfügbarer, kommerzieller und selbst entwickelter Frameworks und Tools, um die Schwachstellen und das Ausnutzungspotenzial der getesteten Website oder Webanwendung gründlich zu analysieren. Der WVA wird die bekannten und regelmäßig aktualisierten OWASP-Top-10 (Open Web Application Security Project) einbeziehen, um die Anfälligkeit und Ausnutzbarkeit der Website oder Webanwendung in Bezug auf die Top 10 der häufigsten Webangriffe zu ermitteln. Darüber hinaus wendet der WVA auch eine Stufe des Lateral Movement und der Privilege Escalation an, um einen verwertbaren Zusammenhang zwischen der Web-Schwachstelle und den möglichen Folgen für die zugrunde liegende Infrastruktur herzustellen, falls dies vom Kunden gewünscht wird.
Blackbox-WVA
Bei einem Blackbox-Test erhält der Offensiv-Experte nur einen Einstiegspunkt, d. h. die IP-Adresse oder den Hostnamen einer Website oder Webanwendung, und keine weiteren Informationen über die zugrunde liegende Infrastruktur, Sicherheitsvorkehrungen, verbundene Datenbanken oder Quellcode. Dieses WVA-Modul wurde speziell entwickelt, um einen echten Angriff auf die Website oder Webanwendung zu simulieren, während der offensive Experte nur öffentlich zugängliche Informationen verwendet, die während der Aufklärungsphase gesammelt wurden.
Whitebox-WVA
Ein Whitebox-Test gewährt dem Offensiv-Experten einen Einblick in die Architektur der Website oder Webanwendung, in der Regel auch in den Quellcode und die zugrunde liegende Infrastruktur des Einstiegspunkts. Diese Art von Test wird empfohlen, bevor eine Anwendung in den produktiven Betrieb geschickt wird, um sicherzustellen, dass Sicherheitsschwachstellen während der Entwicklungsphase behoben werden. Darüber hinaus werden statische und dynamische Code-Analysen vom Offensiv-Experten initiiert, um riskante Konfigurationen und veraltete Bibliotheken zu identifizieren.