HumanisedTech Logo

Introduction To Penetration Testing für Web-Anwendungen

Was ist Web Application Penetration Testing?

Web-Anwendung penetration testing auch bekannt als pentesting oder ethical hacking. Web-Anwendung Penetration Testing schützen Ihre web-Anwendungen von simulierten Angriffen und Ihnen helfen, mögliche Sicherheitslücken, Schwachstellen und Sicherheitslücken zu beseitigen. Sie verwenden können, penetration-tests, um zu entdecken, Sicherheitslücken und Schwachstellen in web-Anwendung Komponenten und-APIs, einschließlich der back-end-server, die Datenbank und der Quellcode. 

Was ist der Vorteil von tun Penetrationstest für Web-Anwendungen? 

Penetration testing ist wichtig für web-Anwendungen wie die meisten Unternehmen sind auf web-Anwendungen unter Berücksichtigung viele web-Anwendungen sind mission-critical-Systeme. Die meisten der Zeit, die web-Anwendungen speichern sensible Daten wie persönliche id-Informationen, details zur Zahlung, medizinische details, und so weiter und kann Einnahmen generieren, die direkt oder indirekt verwiesen wird.  

Eine web-Anwendung Verletzung kann direkt zu finanziellen Schäden, vertrauliche Informationen offenzulegen, Schaden Ruf des Unternehmens, die die Offenlegung der business-plan und Strategie und kann dazu führen, die Organisation der Verletzung Ihrer compliance-Pflichten.  

Arten von Penetrationstests für Webanwendungen 

Wenn Sie einen Penetrationstest für web-Anwendungen gibt es mehrere Aspekte, die Sie berücksichtigen müssen. Diese Aspekte bestimmen die Lage (intern oder extern) und die Art der penetration test erforderlich ist. 

Es gibt im wesentlichen zwei Arten von Penetrationstests durch die Position des Angriffs. 

1. Interne Penetrationstests 

Dies sind die Angriffe von innerhalb der Organisation als interner Angreifer. Dies erfolgt in der Regel über LAN. Das Ziel ist die Identifikation von Schwachstellen, die möglicherweise existieren innerhalb der firewall, die Simulation eines Angriffs, wie ein böswilliger insider. 

2. Externe penetration-testing  

Angriffe der Anwendung äußerlich wie ein externer Angreifer. Der test simuliert, wie ein externer Angreifer Verhalten würde, wenn Sie erklärt, ein Angriff. Können Sie eine externe pentest um zu überprüfen, firewalls, Server und Benutzer. 

Zusätzlich zu den beiden oben genannten Prüfungenes gibt drei andere Arten von Penetrationstests durch verschiedene Aspekte, wie Zugriffsberechtigungen und der Umfang der Kenntnisse:

1. Black-box-Penetrationstests 

Diese Art von pentest, dass simuliert Angriffe beginnt wie ein externer Angreifer, der über keine Vorkenntnisse in die gezielte system ohne Benutzer-Berechtigung. 

2. Gray-box-Penetrationstests 

Diese Art von pentest, dass simuliert Angriffe beginnt, wie ein interner Angreifer, mit user-level-Zugriff auf bestimmte Systeme wissen. 

3. White-box-Penetrationstests 

Diese Art von pentest, dass simuliert Angriffe beginnt mit der vollständigen Kenntnis des Quellcodes und system. 

Wie machst du web application penetration testing? 

Web-Anwendung penetration Test wird hauptsächlich in drei Phasen: 

  1. Planungsphase 
  2. Verwertungsphase 
  3. Post-Exploitation-Phase

Pentester sollten, beachten Sie folgende Aspekte bei der Planung: 

1. Legen Sie den Umfang der test  

Wir identifizieren und definieren den Umfang der pentesting vor Beginn der pentest. 

2. Den Erfolg bestimmen Kriterien für pentest  

Wo die erwarteten Ergebnisse können abgeleitet werden aus den Anforderungen der Nutzer, pentesting arbeitet auf ein anderes Modell. Die Erfolgskriterien oder Testfall übergeben Kriterien definiert werden müssen. 

3. Überprüfen Sie alle verfügbaren Ergebnisse aus früheren tests, ggf.  

Wenn alle vorherigen Tests durchgeführt werden, ist es wichtig zu überprüfen, diese Testergebnisse zu verstehen, welche Schwachstellen es in der Vergangenheit gab und was Sanierung und Kontrollen wurden genommen, um zu lösen. Dies gibt immer ein besseres Bild des pentesters. 

4. Bewerten und lernen Sie so viel wie möglich über die Umwelt getestet 

Pentesters erlangen sollen Gründliche Kenntnisse über die Umgebung vor starten des Tests. Dieser Schritt soll sicherstellen, dass pentesters zu verstehen, business-Logik, firewalls oder anderen security-Protokolle erforderlich, deaktiviert werden, um die Tests durchgeführt. 

Pentester Einhaltung der folgenden Aspekte während der verwertungsphase: 

1. Threat modelling. 

2. Machen Sie den test mit mehreren verschiedenen Rollen, falls erforderlich. 

3. Befolgen Sie die pre-definiert Erfolgskriterien und Meldeverfahren bei der Entdeckung neuer Schwachstellen. 

4. Erstellen Sie eine klare und detaillierte Bericht zur Erläuterung der Maßnahmen, welche Arten von Sicherheitsanfälligkeiten, die erkannt wurden, und der Schweregrad jedes Sicherheitsrisiko. 

Pentester Einhaltung der folgenden Aspekte während der post-exploitation phase:

1. Empfehlungen für die Sicherung der Schwachstellen, die sind gefunden in die explosion-phase. 

2. Re-test, um zu überprüfen, ob diese Schwachstellen wurden Abhilfemaßnahmen korrekt durch den Entwickler. 

3. Nachdem alle tests abgeschlossen sind, alle änderungen rückgängig machen, um die ursprüngliche Konfiguration, einschließlich Aktivierung von firewall-und andere Sicherheitsprotokolle, wenn es deaktiviert in der explosion phase. 

Web Penetration Testing-Methodik für eine erfolgreiche Penetration Testing

Die Methodik ist eine Reihe von Sicherheits-Industrie-Richtlinien und-standards auf, wie die Prüfung durchgeführt werden sollte. Einige der berühmtesten Methoden und standards können verwendet werden für die Prüfung. Jedoch, jede web-Anwendung Anforderungen verschiedene Arten von tests durchgeführt werden. Zudem können Tester erstellen Sie Ihre Methoden durch die Bezugnahme auf die standards auf dem Markt verfügbar. 

Below are some of the most popular security testing methodologies and standards that a pentester needs to follow while testing: 

  1. OWASP (Open Web Application Security Project)  
  2. OSSTMM (Open Source Security Testing Methodology Manual) 
  3. NIST (National Institute of Standards und Technologie) 
  4. PTES Framework (Penetration Testing-Methoden und-Standards Framework) 
  5. PCI DSS (Payment Card Industry Data Security Standard) 

Fazit

Considering that many businesses depend on web applications, it’s important to do penetration testing to safeguard web applications from simulated cyber attacks and identify potential security flaws, weaknesses and vulnerabilities to remedy them. In this manner, it’s important for a pentester to have knowledge on the types of penetration testing, the 3 phases of penetration testing as well as the security testing methodologies and standards adopted while testing.

 

 

Ressourcen

https://owasp.org/
http://www.pentest-standard.org/index.php/Main_Page
https://www.isecom.org/OSSTMM.3.pdf

Teilen Sie diesen Artikel

Teilen auf facebook
Facebook
Teilen auf twitter
Twitter
Teilen auf linkedin
LinkedIn

© HumanisedTech 2022. Alle Rechte vorbehalten.

Inbound-Lead-Generierung Strategie

Ein content-net zu erfassen und zu pflegen, führt langfristig

Umwandlung Zielseite

Eine schnelle Gewinne landing-page um die Konversionsrate zu erhöhen ohne Aufwand

Tooling & Analytics

Wissen, was die Website-Besucher tun und Optimierung der Nutzung und der Vertrieb

Thought Leadership Content

Qualitativ hochwertige Inhalte zu erstellen Marke Autorität und Einfluss sales