Penetrationstests

Können Unbefugte in Ihre Systeme eindringen? Sind Ihre Anwendungen und Dienste vor Angreifern hinreichend geschützt?

Reputationsschäden

Hackerangriffe können Ihr Firmenimage beschädigen und sind somit existenzbedrohend, denn diese bewirken einen Vertrauensverlust der Öffentlichkeit.

Datenverlust

Sind Ihre Daten einmal in den falschen Händen werden diese oft missbraucht und an Kriminelle weiterverkauft. Dieses Szenario ist ein Albtraum für jeden Ihrer Kunden.

Strafzahlungen

Durch die am 25. Mai 2018 in Kraft getretene EU-Datenschutzgrundverordnung (EU-DSGVO) kann der Verlust von Kundendaten Strafen und damit verbundene finanzielle Schäden bedeuten.

Betriebsstörungen

Hackerangriffe, insbesondere Malwareangriffe, können Ihren Geschäftsbetrieb beeinträchtigen oder gar zum Stillstand bringen.

globe

0

Webanwendungen überprüft

0

Schwachstellen gefunden

0

Bug-Bounties

Vorteile

Web-Penetrationstests werden von unseren speziell ausgebildeten Analysten nach anerkannten Standards geplant, durchgeführt und ausgewertet.

Profitieren Sie von der jahrelangen Erfahrung unserer Analysten.

Unsere Analysten verfügen über eine umfangreiche akademische Ausbildung und langjährige Erfahrung im Identifizieren und Beheben von Schwachstellen aller Art.

Durch regelmäßige Schulungen und Weiterbildungen stellen wir sicher, dass neue Tools und Techniken schnellstmöglich genutzt werden können.

Wir entwickeln unsere Tools und Prozesse ständig weiter, um unseren Kunden ein bestmögliches Ergebnis liefern zu können.

Eine umfangreiche Forschung stellt sicher, dass auch tagesaktuelle Schwachstellen identifiziert werden können.

Wir führen Sicherheitsanalysen auf Basis von anerkannten Standards und Richtlinien durch.

Wir auditieren Web-Anwendungen anhand des OWASP Testing Guides.

Unsere Tools und Verfahren sind in der Lage, die Schwachstellenkategorien der OWASP Top 10 bestmöglich zu identifizieren.

Unsere Prozesse sind an den Praxis-Leitfaden für Penetrationstests des Bundesamts für Informationssicherheit (BSI) angepasst.

Ablauf

Von uns durchgeführte Penetrationstests sind ein agiler Prozess und werden in enger Absprache mit dem Kunden durchgeführt.

Kick-Off

Die Vorbereitung des Pentests erfolgt im Rahmen eines Kick-Off Meetings mit den technischen und organisatorischen Verantwortlichen Ihres Unternehmens. Hierbei werden die zu prüfenden Rahmenbedingungen spezifiziert, es werden notwendige Benutzerkonten und Zugriffswege abgestimmt, Ansprechpartner und Eskalationswege definiert und der Pentest wird im Detail gemeinsam besprochen.

Research

Unsere Analysten versuchen möglichst viele Informationen zu sammeln. Auf Basis dieser Informationen werden Analysestrategien entwickelt, mit denen mögliche Angriffsvektoren identifiziert werden können. Diese Angriffsvektoren werden dann in umfangreichen Tests auf Schwachstellen untersucht.

Exploitation

In dieser Phase wird versucht, die identifizierten Schwachstellen aktiv auszunutzen, um Zugriff auf die Zielsysteme zu erlangen. Dabei werden von unserem Pentester, abhängig vom jeweiligen Dienst oder der technischen Umgebung, neue Exploits geschrieben oder bestehende verwendet. Potentielle Schwachstellen können sich hier als falsch-positiv herausstellen. Nur verifizierte Schwachstellen werden in den abschließenden Bericht aufgenommen und entsprechend ihrer Kritikalität eingestuft.

Report

Sie erhalten einen umfassenden Abschlussbericht bestehend aus einer Management Summary und einem Technical Report. Die Kritikalität der Schwachstellen und Maßnahmenempfehlungen werden darin ausführlich beschrieben.

Remediation (Optional)

In dieser Phase erfolgt die Beseitigung der identifizierten Schwachstellen durch Ihr Unternehmen. Bei Bedarf werden Sie hierbei durch unsere erfahrenen Security-Engineers unterstützt.

Nachprüfung (Optional)

Sie haben die Möglichkeit nach Durchführung der Remediation eine Nachprüfung durch uns durchführen zu lassen. Hierbei überprüfen wir die Wirksamkeit Ihrer Maßnahmen und passen den Ergebnisbericht an.

Abschlussgespräch (Optional)

In diesem Abschlussgespräch werden alle kritischen Punkte im Ergebnisbericht besprochen und alle abschließende Fragen geklärt.

Abschlussbericht

Wir haben ein umfangreiches Berichtsformat entwickelt, das optimalen Einblick in unsere Arbeit und dessen Ergebnisse ermöglicht.

Web-Penetrationstests werden von uns nach dem OWASP Testing Guide durchgeführt und auch dementsprechend ausgewertet.

Unser ausführliches Berichtsformat gibt nicht nur Aufschluss darüber, welche Schwachstellen während des Penetrationstests identifiziert wurden, sondern auch welche Angriffsvektoren dabei überprüft wurden. Somit können Sie unsere Arbeit optimal nachvollziehen.

Der Abschlussbericht wird individuell erstellt und sowohl als klassisches PDF-Dokument, als auch in einem speziellem HTML-Format ausgeliefert. Im dynamischen HTML-Format können Inhalte und Schwachstellen-Funde gefiltert, sortiert und in andere Formate exportiert werden.

In einem gemeinsamen Abschlussgespräch besprechen wir mit Ihnen die Details des Berichts und unterstützen Sie bei Bedarf bei der Behebung der identifizierten Schwachstellen.

Umfang

Die folgende Tabelle beschreibt unsere Angebotspakete und die zugehörigen Testmodule. Grundsätzlich gilt, je länger unsere Analysten Ihre Web-Anwendung untersuchen, desto aussagekräftiger sind die Ergebnisse. Sollten Sie spezielle Ansprüche haben, machen wir Ihnen gerne ein individuelles Angebot.

Informationsbeschaffung Informationsbeschaffung Suchmaschinen-Aufklärung Webserver-Fingerprinting Webserver-Metadateien Anwendungs-Enumeration Kommentare und Metadaten Anwendungs-Entrypoints Zuordnung von Ausführungspfaden Framework-Fingerprinting Applikation-Fingerprinting Anwendungsarchitektur
Konfiguration Konfigurationsmangement Netzwerk- und Infrastruktur-Konfiguration Konfiguration der Anwendungsplattform Handhabung von Dateierweiterungen Alte, gesicherte und nicht referenzierte Dateien Admin-Oberflächen HTTP-Methoden HTTP-Strict-Transport-Security RIA-Cross-Domain-Policy Dateiberechtigungen Subdomain-Übernahme
Sessionmanagement Sessionmanagement Umgehung des Session-Management-Schemas Cookie-Attribute Session-Fixation Session-Variablen Cross-Site-Request-Forgery Abmeldefunktionalität Session-Timeout Session-Puzzling
Fehlerbehandlung Fehlerbehandlung Fehlercode Stack-Traces
Identitätsmanagement Identitätsmanagement Rollendefinitionen Benutzer-Registrierungsprozess Benutzerkonto-Bereitstellungsprozess Kontenaufzählung und erratbare Benutzerkonten Richtlinien für Benutzernamen
Authentifizierung Authentifizierung Anmeldeinformationen über verschlüsselten Kanal Standard-Anmeldeinformationen Schwacher Sperrmechanismus Umgehung des Authentifizierungsschemas "Passwort merken"-Funktionalität Browser Cache Passwortrichtlinien Sicherheitsfragen Passwort ändern oder zurücksetzen Authentifizierung über alternativen Kanal
Berechtigungen Berechtigungen Directory-Traversal/File-Inclusion Umgehung des Berechtigungsschemas Erweiterung der Privilegien Unsichere direkte Objektreferenzen
Eingabevalidierung Eingabevalidierung Reflected-Cross-Site-Scripting Stored-Cross-Site-Scripting HTTP-Verb-Tampering HTTP-Parameter-Pollution SQL-Injektion LDAP-Injection ORM-Injection XML-Injection SSI-Injection XPath-Injection IMAP/SMTP-Injection Code-Injection Command-Injection Pufferüberläufe Inkubierte Schwachstellen HTTP-Splitting/-Smuggling HTTP-Incoming-Requests Host-Header-Injection
Kryptographie Kryptographie Transportsicherheit Padding-Oracle Unverschlüsselte Kanäle Schwache Verschlüsselung
Geschäftslogik Geschäftslogik Datenvalidierung Anfragenfälschung Integritätsprüfungen Prozess-Timing Nutzungsgrenzen Umgehung von Arbeitsabläufen Missbrauch der Anwendung Upload von unerwarteten Dateitypen Upload von bösartigen Dateien
Client-Side Benutzerseitige Schwachstellen DOM-Based-Cross-Site-Scripting JavaScript-Ausführung HTML-Injection URL-Umleitung CSS-Injection Ressourcenmanipulation Origin-Resource-Sharing Cross-Site-Flashing Clickjacking WebSockets Web-Messaging Local-Storage
APIs APIs Generische Tests Parameter Fuzzing Unsichere direkte Objektreferenzen Erweiterung der Privilegien (Token-Based)-Authentication JWT-Brute-Forcing
Patchmanagement Patchmanagement Veraltete Software Öffentlich gemeldete Schwachstellen
Ungefähre Testdauer Die ungefähre Testdauer gibt an, wie lange unsere Analysten ihr System auf Schwachstellen überprüfen. Grundsätzlich gilt, je länger unsere Analysten Ihre Web-Anwendung untersuchen, desto aussagekräftiger sind die Ergebnisse.
Erster Überblick
Informationssammlung
Konfigurationsmangement
Sessionmanagement
Fehlerbehandlung
Identitätsmanagement
Authentifizierung
Berechtigungen
Eingabevalidierung
Kryptographie
Geschäftslogik
Benutzerseitige Schwachstellen
APIs
Patchmanagement
Ungefähre Testdauer
2 Tage
Mittlere
Anwendungskomplexität
Informationssammlung
Konfigurationsmangement
Sessionmanagement
Fehlerbehandlung
Identitätsmanagement
Authentifizierung
Berechtigungen
Eingabevalidierung
Kryptographie
Geschäftslogik
Benutzerseitige Schwachstellen
APIs
Patchmanagement
Ungefähre Testdauer
5 Tage
Hohe
Anwendungskomplexität
Informationssammlung
Konfigurationsmangement
Sessionmanagement
Fehlerbehandlung
Identitätsmanagement
Authentifizierung
Berechtigungen
Eingabevalidierung
Kryptographie
Geschäftslogik
Benutzerseitige Schwachstellen
APIs
Patchmanagement
Ungefähre Testdauer
ab 10 Tagen

FAQS

Im Folgenden haben wir eine Übersicht häufig gestellter Fragen zusammengestellt. Sollten Sie weitere Fragen haben, melden Sie sich gerne bei uns.

Wie unterscheiden sich die einzelnen Testarten?

Die einzelnen Testarten unterscheiden sich in Umfang und Zeitaufwand. Grundsätzlich gilt, je länger der Testzeitraum, desto aussagekräftiger die Ergebnisse.

turingsecure ist ein Produkt der turingpoint GmbH. Mit diesem Produkt versuchen wir, unseren Kunden bestmögliche Leistungen im Bereich Pentesting von Webanwendungen zu bieten.

Üblicherweise werden Sicherheitsanalysen von uns remote durchgeführt. Sollte Ihre Anwendung nicht extern erreichbar sein, unterstützen unsere Analysten Sie gerne bei der Einrichtung eines Remotezugangs. Sollte auch das nicht möglich sein, kommen unsere Analysten in ihr Unternehmen und führen die Sicherheitsanalyse vor Ort durch. Bitte beachten Sie, das Tests vor Ort mit zusätzlichen Kosten und zeitlichen Einschränkungen verbunden sind.

Das OWASP Top 10 Projekt dient der Erfassung und Erklärung der häufigsten Schwachstellen von Webanwendungen. Es stellt einen breiten Konsens über die kritischsten Sicherheitsrisiken für Webanwendungen dar und erhöht so die Transparenz und Wirksamkeit unserer Arbeit.

OWASP Testing Guide bietet einen Testleitfaden, der Vorgehen und Techniken definiert, die zum Testen der häufigsten Sicherheitsschwachstellen in Anwendungen verwendet werden. Der Leitfaden hat sich zu einem De-facto-Standard für die Durchführung von Sicherheitsanalysen von Web-Anwendungen entwickelt.

Beim Whitebox-Verfahren haben unsere Analysten Zugriff und Kenntnis über die Entwicklung der Software (Quellcode sowie ggf. vorhandene Dokumentation). Das Greybox-Verfahren ist eine Technik zum Testen des Softwareprodukts mit teilweiser Kenntnis der internen Funktionsweise einer Anwendung. Beim Blackbox-Verfahren hingegen haben die Tester keinen Zugriff und Kenntnis über die Software.

Trotz gründlicher Überprüfung kann es vorkommen, dass wenig oder keine Schwachstellen identifiziert werden. Dank unseres umfangreichen Abschlussberichts können sie jedoch trotzdem unsere Arbeit optimal nachvollziehen.

Wir bieten Ihnen individuelle Abonnements sowie einen attraktiven Preisnachlass für Stammkunden. Bei diesen Preismodellen genießen Ihre Projekte die höchste Priorität.

Für eine iterative Überprüfung im Entwicklungsprozess bietet die turingpoint GmbH zum Beispiel DevOps-Security-Beratung an.

Unsere Security-Engineers behandeln Werkzeuge, Prozesse und Methoden für den Entwurf, Implementierung und Test von sicheren IT-Systemanwendung. Security-Engineering stellt hierbei sicher, dass die Spezifikation unter vorgesehenen Sicherheitsbedingungen erfüllt wird.

Sollten Backups der Zielsysteme gemacht werden?

Die Aufrechterhaltung der Systemfunktion während und nach der Sicherheitsanalyse steht für uns an vorderster Stelle. Trotz unserer Bemühungen können Systemstörungen oder Datenverlust jedoch nicht völlig ausgeschlossen werden, weshalb wir die Erststellung eines Backups empfehlen.

Sollen ein Backend oder gesicherte Anwenderbereiche überprüft werden, benötigen wird exemplarische Anmeldedaten, um alle Anwendungsabschnitte untersuchen zu können.

Sollte die Ihre Webanwendung während unserer Geschäftszeiten (Werktags, 8-20 Uhr) unter hoher Last stehen oder die Ausfallsicherheit ist in diesem Zeitraum nicht gewährleistet, ist es möglich Tests auch außerhalb unser Geschäftszeiten durchzuführen. Bitte beachten Sie, dass wir in solchen Fällen einen Aufschlag berechnen.

Der einzuplanende Zeitraum für unsere Web-Pentests hängt von der gewählten Testart und der Komplexität Ihrer Webanwendung ab. Für unseren Basis-Test planen wir 1-2 Werktage, den Standard-Test 1 Woche und den Umfangreich-Test 2 Wochen ein. Zusätzliche benötigen unsere Analysten Zeit, um den Abschlussbericht anzufertigen.

Unsere selbstentwickelten Werkzeuge zur Überprüfung von Webanwendung können hohe Aufrufzahlen und Traffic auf dem Zielsystem erzeugen. Sollten unsere Analysten oder ihr IT-Team während der Sicherheitsanalyse Performance-Probleme feststellen, können wir unsere Software drosseln.

Durch unsere flexiblen Prozesse können wir auch kurzfristig mit Ihrem zeitkritischen Projekt beginnen.

Wie werden Schwachstellen bei einer Sicherheitsanalyse gefunden?

Unsere Analysten nutzen Ihre langjährige Erfahrung und Werkzeuge, wie eine selbstentwickelte Software, zum Auffinden von Sicherheitsproblemen in Ihrer Webanwendung.

Im Rahmen des Kick-Off-Gesprächs vereinbaren unsere Analysten einen Ansprechpartner mit Ihnen, an den schon während der Sicherheitsanalyse kritische Schwachstellen berichtet werden.

Wir benutzen gängige Werkzeuge wie OWASP ZAP, BurpSuite, SQLMap. Unsere Arbeit basiert jedoch auf einer selbstentwickelten Software, die von uns ständig erweitert und verbessert wird.

Es lässt sich nicht vermeiden, dass während der Sicherheitsanalyse vertrauliche Daten sichtbar werden können. Grundsätzlich wird vor Beginn der Sicherheitsanalyse ein NDA (Geheimhaltungsvertrag) zu vereinbart.

Grundsätzlich führen unsere Analysten keine Denial-of-Service (DoS) Angriffe durch. Durch die hohe Anzahl von Seitenaufrufen durch unsere Software kann es jedoch passieren, dass unserer Test als Denial-of-Service (DoS) Angriff Identifiziert wird.

Ein Ausfallrisiko des Zielsystems ist während einer Sicherheitsanalyse nicht auszuschließen. Sie sollten daher über aktuelle Backups verfügen und das zuständige IT-Team sollte erreichbar sein. Falls verfügbar, sollte der Test auf ein Test- oder Abnahmesystem durchgeführt werden.

Wie lange dauert die Anfertigung des Abschlussberichts?

Die Anfertigung des Abschlussberichts ist Teil unseres Angebots und nimmt etwa 2 zusätzliche Tage in Anspruch.

In unserem dynamischen HTML-Format können Inhalte und Schwachstellen-Funde gefiltert, sortiert und in andere Formate exportiert werden. So kann Ihr IT-Team effizienter bei der Bearbeitung der Funde vorgehen.

Unsere Arbeit kann durch unseren umfangreichen Abschlussbericht optimal nachvollzogen werden. Wir dokumentieren dabei nicht nur die Funde, sondern auch das Vorgehen unserer Analysten.

Ein optionaler Nachtest kann stattfinden, wenn ihr IT-Team die zuvor identifizierten Schwachstellen behoben hat. Es handelt sich hierbei nicht um eine vollständige Sicherheitsanalyse, sondern nur um das erneute Testen der zuvor festgestellten Sicherheitsprobleme.

In unserem umfangreichen Berichtsformat werden von unseren Analysten Maßnahmen dokumentiert, mit denen die identifizierten Sicherheitsprobleme behoben werden können. Sollten Sie technische Unterstützung benötigen, machen wir Ihnen gerne ein individuelles Angebot für eine Beratung durch unsere Security-Engineers.

Das Abschlussgespräch kann gegen eine Reisekostenpauschale im Rahmen einer Präsentation in Ihrem Unternehmen gehalten werden.

Kontakt

Nehmen Sie mit uns Kontakt auf. Gerne vereinbaren wir ein unverbindliches Erstgespräch mit Ihnen.

  • +49 40 52477883
  • hello@turingsecure.de
t
t
u
u
r
r
i
i
n
n
g
g