web-security.io

Application Testing



circles

Application Test

Beim Application Test wird die laufende Anwendung, sei es Produktivsystem oder eine bereitgestellte Kopie, ebenfalls mithilfe verschiedener Scan-Werkzeuge getestet, ähnlich wie dies auch ein Angreifer tun würde. Wie auch im Source Code Testing geht es darum, Sicherheitslücken, die für einen Cyber-Angriff genutzt werden könnten, aufzudecken. Aufgrund der Identifizierung dieser Schwachstellen können Entwickler diese schließen und die Sicherheit der Applikation verbessern. Unsere Experten konzentrieren sich vorerst auf Security Tests an der laufenden Applikation.

Im Rahmen eines Application Tests können unter anderem Schwachstellen der folgenden Kategorien entdeckt werden:

  • SQL-Injektion: Sicherheitslücke, die auftritt, wenn eine Anwendung unsichere Eingaben von Benutzern nicht ausreichend validiert oder filtert und diese direkt in SQL-Abfragen einfügt.

  • Cross-Site-Scripting: Sicherheitslücke, die in Webanwendungen auftritt und ermöglicht Cyber-Attacken durch Einfügen eines schädlichen Codes in Webseiten.

  • Anfällige Dependencies Oftmals werden in Web-Anwendungen Drittprodukte genutzt, die ebenfalls Sicherheitsschwachstellen aufweisen, vorallem auch dann, wenn veraltete Versionen genutzt werden. Im Rahmen von Application Tests werden somit auch oftmals Sicherheitslücken in Drittprodukten aufgezeigt.

Methodik

Die Überprüfung umfasst die folgenden Schritte:

  • Planung. Bevor die Überprüfung beginnt, wird ein Plan entwickelt, der den Umfang der Überprüfung, das zutestende System, die Ziele und den Zeitplan festlegt.

  • Vorbereitung. Die Anwendung wird für die Überprüfung vorbereitet, indem sie für die Prüfer leicht zugänglich gemacht werden. Oftmals umfasst dies auch das Aufsetzen einer Kopie des Echtsystems, um das Echtsystem nicht zu beeinträchtigen.

  • Testung:_ Die Prüfer untersuchen die Web Anwendung, um potenzielle Sicherheitsschwachstellen zu identifizieren. Dazu gehört die manuelle Überprüfung und der Einsatz automatischer Tools. Die verwendeten Tools decken die CWE und OWASP Sicherheitsstandards ab.

  • Analyse: Die identifizierten Schwachstellen werden analysiert, um ihre potenziellen Auswirkungen und die Wahrscheinlichkeit einer Ausnutzung zu bestimmen. False-positives werden aussortiert. Die verbleibenden Schwachstellen werden hinsichtlich ihrer Priorität bewertet.

  • Berichterstattung und Beratung: Es wird ein Bericht erstellt, der die Ergebnisse der Überprüfung zusammenfasst, einschließlich der ermittelten Schwachstellen und ihres Schweregrads sowie Empfehlungen zur Abhilfe. Mit Hilfe des Berichts findet ein Beratungsgspräch zu allen identifizierten Schwachstellen statt.

Kein Security Test kann garantieren, dass alle Schwachstellen identifiziert wurden oder, dass die Anwendung vollständig sicher ist. Ein höherer Grad an Sicherheit kann erreicht werden, indem unterschiedliche Testmethoden verwendet werden. Eine zusätzliche Durchführung von Source Code Testing führt in der Regel zur Identifikation weiterer potentieller Sicherheitsschwachstellen.