Floragasse 7 – 5th floor, 1040 Vienna

Penetrationstest von Applikationen

Bei einem Penetrationstest (bzw. Pentest) wird die Applikation auf Schwachstellen untersucht, um diese anschließend auszunutzen und so in das System einzudringen. Es wird hier der Weg des geringsten Widerstandes gewählt, das heißt risikoreiche Schwachstellen werden zuerst überprüft. Ein solcher Test kann effektiv aufzeigen, ob die Schutzmechanismen in einer Applikation funktionieren oder nicht.

Allgemeiner Ablauf eines Penetrationstests von Applikationen

Für den Test werden automatisierte Werkzeuge und manuelle Überprüfungen so kombiniert, dass in der verfügbaren Zeit möglichst effizient getestet werden kann. Werden Schwachstellen gefunden, so wird versucht, diese auszunutzen, ohne den laufenden Betrieb der Software dabei zu stören. Es werden stets die neuesten Angriffswege, aber auch klassische Schwachstellenarten und Fehler in der Anwendungslogik in Betracht gezogen.

Die Ergebnisse werden in einem schriftlichen Endbericht festgehalten. Dieser beinhaltet unter anderem eine Management Summary, welche die Ergebnisse verständlich zusammenfasst und das Gesamtrisiko aufzeigt. Außerdem werden die Schwachstellen technisch detailliert beschrieben, das Risiko systematisch bewertet und Gegenmaßnahmen beschrieben. Die Maßnahmenbeschreibungen werden auf Unternehmen und verwendete Technologien abgestimmt.

Vorteile eines Penetrationstests von Applikationen

  • Einem Imageschaden vorbeugen, indem durch das Aufzeigen und Beheben der Sicherheitsprobleme die Wahrscheinlichkeit und Erfolgsaussicht eines Angriffes minimiert werden.
  • Management-Awareness für Sicherheitsprobleme durch Angriffsdemonstrationen schaffen.
  • Unterstützung bei der Priorisierung der Sicherheitsprobleme nach technischem Schweregrad.
  • Compliance-Anforderungen erfüllen, indem regelmäßig Penetrationstests durchgeführt werden.

Arten von Penetrationstests

  • Black-Box-Tests: Dem Testteam sind vorab keine Informationen bekannt.
  • Grey-Box-Tests: Dem Testteam sind Informationen über die Applikationsarchitektur und/oder Zugangsdaten bekannt. Dadurch wird eine höhere Effizienz erreicht.
  • White-Box-Tests: Dem Testteam steht der gesamte Quellcode der Applikation und eine laufende Instanz zur Verfügung. Diese Art von Penetrationstest ist aufwändiger, hat aber die höchste Ergebnisqualität.

This Website uses Cookies. more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close