Direkt zum Inhalt

Web Penetration Test

Die Webkomponenten, die zum Evaluationsgegenstand gehören, werden einem Penetrationstest der Webanwendung unterzogen, der in einem authentifizierten oder nicht authentifizierten Modus durchgeführt wird und, soweit möglich, Informationssammlung, Konfigurationstest und Bereitstellungsmanagement, Identitätsmanagementtest, Authentifizierungstest und Autorisierungstest, clientseitige und serverseitige Tests, Sitzungsmanagementtests, Datenvalidierung und Fehlerbehandlung, Tests der verwendeten Kryptographie und Geschäftslogiktests umfasst.

Die Komponenten der Website, des elektronischen Geschäftsverkehrs und der Serverinfrastruktur, die im Internet zugänglich sind und als Evaluationsziel definiert wurden, werden Sicherheitstests unterzogen, die ohne Authentifizierung und Black Box durchgeführt werden, d.h. ohne jegliche technische Informationen über die Ziele. Im Falle eines tatsächlichen Zugriffs auf die Systeme kann ein Erreichbarkeitstest benachbarter Netze und Systeme durchgeführt werden. Das geschieht indem Host Discovery, Fingerprinting, Service Enumeration Aktivitäten und in jedem Fall alle nicht-invasiven Aktivitäten durchgeführt werden, die auf jeden technologischen Vermögenswert, jedes System, jeden Dienst oder jede Applikation abzielen, welche auf Ebene der Netzzusammenschaltung einen Zugriff erlaubt. Daraus resultierend wird eine Informationserfassung durchgeführt und zu analysierende Punkte, Angriffs- oder Risikoszenarien oder Vorschläge für detaillierte Studien werden identifiziert.