Ihre Webapplikationen und deren Authentifizierungsverfahren, Rollenkonzepte, Anwendungslogiken und Eingabevalidierungen werden umfangreich geprüft, um potenzielle Schwachstellen auch mittels Reverse Engineering aufzudecken. Die Tests richten sich nach den OWASP-Top10-Risiken sowie dem Application Security Verification Standard (ASVS) und prüfen zusätzlich systematisch alle weiteren Sicherheitsaspekte von Webapps. Neben dem eigentlichen End-User Webinterface können beim Webapp Pentest auch die zugrundeliegenden Komponenten wie Webserver, Content-Management-Systeme (CMS), Anwendungsserver oder zugehörige Datenbanken getestet werden.
Webdienste und APIs (Application Programming Interface) bilden das Grundgerüst vieler Anwendungen. Sie ermöglichen die nahtlose Integration und Kommunikation zwischen verschiedenen Systemen und Diensten. Diese zentrale Rolle birgt auch Risiken, besonders da sie nicht wie Webseiten allgemein über einen Webbrowser ersichtlich sind.
Ein Web Service Penetration Test testet die Authentisierung und Autorisierung und prüft auf Fehlkonfigurationen, übermässige Offenlegung von Daten und unzureichende API-Ratenbegrenzung. Dabei werden manuelle und automatisierte Testmethoden auf der Grundlage des OWASP Application Security Verification Standard (ASVS) eingesetzt, um Schwachstellen im Webdienst oder in der API zu identifizieren.
Sicherheitsanalysen Ihrer Client/Server-Anwendungen sind besonders wichtig, da Angriffe durch Cyber-Kriminelle über bereits kompromittierte interne Systeme «von Innen» vorgenommen werden können. Die Bedeutung solcher Tests für interne Anwendungen wird häufig unterschätzt, was zu einem falschen Gefühl der Sicherheit führen kann.
Bei Penetration Tests für Applikationen wird neben der Authentifizierung, Autorisierung und Verschlüsselung auch das sicherheitsrelevante Errorhandling von Benutzerinteraktionen und vieles mehr geprüft. Ebenso kommt Reverse Engineering, insbesondere Decompiling, zum Einsatz.
Bei dem Mobile Application Penetration Tests wird die Sicherheit Ihrer iOS- oder Android-App überprüft. Dabei werden automatisierte und manuelle Tests durchgeführt, um potenzielle Schwachstellen, Fehlkonfigurationen und logische Fehler zu identifizieren. Zusätzlich analysieren wir den Datenverkehr, die erreichbaren Backend-Server und die damit verbundenen Risiken von Man-in-the-Middle-Angriffen. Die Tests werden nach anerkannten Standards wie dem OWASP Mobile Application Security Verification Standard (MASVS) und dem Open Source Security Testing Methodology Manual (OSSTMM) durchgeführt, um höchste Sicherheit zu gewährleisten.
Ein Code Review ist eine zusätzliche Perspektive zu einem Penetration Test, bei dem der Quellcode Ihrer Anwendung tiefergehend analysiert wird, um nach potenziellen Sicherheitslücken, Schwachstellen, Fehlkonfigurationen, Backdoors und weiterem zu suchen und somit die Sicherheit Ihrer Umgebung zu optimieren.
Es werden automatische Tests sowie statische und dynamische Analysen und Abhängigkeitsüberprüfungen ebenso wie manuelle Überprüfungen des Quellcodes durchgeführt. Dies geschieht gemäss den gängigen Standards wie dem OWASP Application Security Verification Standard (ASVS), dem OWASP Code Review Guide und dem Open Source Security Testing Methodology Manual (OSSTMM).
Lassen Sie Ihre Applikationen von den Oneconsult Application Testing Services prüfen und finden Sie heraus, wo Sie im Vergleich zu anderen Unternehmen stehen. Mit den schriftlich festgehaltenen und nach Prioritäten geordneten Befunden und Empfehlungen erhalten Sie einen guten Überblick und können damit beginnen, die Schwachstellen zu schliessen und die Bedrohungen zu minimieren, bevor sie von Cyber-Kriminellen ausgenutzt werden.
Ihre Sicherheit hat höchste Priorität – unsere Spezialisten unterstützen Sie kompetent.
Nichts verpassen! Melden Sie sich für unseren kostenlosen Newsletter an.
Erreichbarkeit von Montag bis Freitag 08.00 – 18.00 Uhr (Ausnahme: Kunden mit SLA – Bitte über die 24/7 IRR-Notfallnummer anrufen).
Privatpersonen wenden sich bitte an Ihren IT-Dienstleister des Vertrauens oder die lokale Polizeidienststelle.
Weitere Informationen zu unseren DFIR-Services finden Sie hier:
