Web Application e Penetration Testing

Mit dem Aufkommen des E-Commerce verwenden die Unternehmen zunehmend das Web, um ihre Produkte und/oder Dienstleistungen zu fördern und zu verkaufen. Die Cyber Security Division von INSIDE bietet daher Aktivitäten zur Vorbeugung und Sicherheit aller Web-Anwendungen, über die die Unternehmen verfügen.

Der Eingriff umfasst das Scanning und die Überwachung aller Abschnitte dieser Web-Anwendungen, mit besonderem Augenmerk auf die von Benutzernamen und Passwort geschützten, die, wenn punktiert, den Zugriff auf die Dienstleistungen, die über die Protokolle HTTP- oder HTTPS angeboten werden, ermöglichen würden.

Der Eingriff bezieht die folgenden Sicherheitsbereiche ein:

  • Scanning der sensiblen Daten, die über die Anwendung gesendet wurden und durch die Überprüfung des HTML-Codes, der Script oder anderer Informationen, die mittels eventueller Debugging-Mechanismen erhaltbar sind, dem Abfangrisiko durch Hacker ausgesetzt sind;
  • Gründliche Analyse der interaktiven Bereiche zwischen der Anwendung und dem Benutzer, um eventuelle, durch (un)gewollte Inputs eingegebene Lücken zu ermitteln;
  • Authentifizierungsverfahren;
  • Lösung von Problemen hinsichtlich einer bestimmten Sitzung, wie zum Beispiel Timeouts, Logout, Hijacking, Login über nicht überprüfte Adressen, usw.
  • Veränderbarkeit und Validierung von Daten;
  • Ausführung von Befehlen in unvorhergesehenen Bereichen der Anwendung, die beispielsweise durch spezifische SQL-Zeichenfolgen zur direkten Manipulation der Datenbank führen können, mit der Möglichkeit, die vorhandenen Daten zu erfassen, abzuändern und zu löschen;
  • Unsachgemäße oder unangemessene Interaktionen mit dem Betriebssystem (shell escare).