Security Audits

Wir bieten Security Audits für Web- und mobile Anwendungen. Unsere Security Audits umfassen Source Code Reviews, Penetrationtests und Infrastrukturanalysen. Dabei setzen wir sowohl auf automatisierte Werkzeuge als auch auf die manuelle Überprüfung durch unsere Berater.

Bewertung und Kategorisierung von Schwachstellen

Für die Bewertung und Kategorisierung von Schwachstellen und Sicherheitslücken orientieren wir uns am DREAD Risk Assessment Model:

  • Wie schwer würde der Schaden eines Angriffs sein (Damage)
  • Wie leicht lässt sich der Angriff reproduzieren (Reproducibility)
  • Wie aufwändig wäre ein Angriff (Exploitability)
  • Wie viele Nutzer wären betroffen? (Affected users)
  • Wie leicht ist die Schwachstelle aufzuspüren? (Discoverability)

Schwachstellenprüfung

Bei Web-Applikationen werden unter anderem folgende Sicherheitslücken untersucht:

  • Informationen aus angelehnter Infrastruktur - z.B. DNS - und öffentlichen Suchmaschinen
  • Informationen aus der Anwendung, z.B. Kommentare, Dateien, Bibliotheksversionen
  • Konfigurationsfehler
  • Passwortsicherheit
  • Logische Fehler
  • Verschlüsselungsprobleme, z.B. Padding Oracle
  • Cross Site Scripting (XSS)
  • Cross Site Request Forgeries (CRSF)
  • SQL/Code Injection
  • Andere Injektionsfehler, z.B. XPath, Email, Unicode
  • Authentication Bypass
  • Sessionsicherheit, z.B. Entropie des Session-Cookies, Cookie-Flags
  • Offene Weiterleitungen
  • Clickjacking
  • Probleme bei Eingabe- und Ausgabefiltern, z.B. falscher regulärer Ausdruck
  • Denial-of-Service
  • CAPTCHA und Antiautomatisierung
  • Integrative Sicherheit und Härtung
  • Programmierfehler, z.B. redundanter Quellcode

Wir prüfen und bewerten dabei nicht nur den serverseitigen Teil der Anwendung, etwa Datenbank-Backends oder die in PHP oder in einer anderen Skript- oder Programmiersprache geschriebenen Bereiche. Wir testen auch den clientseitigen Teil sowie interaktive Komponenten, zum Beispiel JavaScript-Bibliotheken, Flash-Applets etc.

Ausführlicher Auditbericht

Nach erfolgtem Audit erhalten Sie einen ausführlichen Auditbericht. Darin werden die untersuchten Bereiche sowie gefundenen Fehler dokumentiert und Behebungsempfehlungen gegeben. Im Fazit wird ein Gesamteindruck der Applikation aus sicherheitsrelevanter Sicht gegeben. Zusätzlich enthält der Bericht eine priorisierte Auflistung der gefundenen Fehler (kritisch, hohes, mittleres und geringes Risiko) und gibt Empfehlungen, in welcher Reihenfolge diese behoben werden sollten.

Alternativ können wir einen kurzen, tabellarischen Bericht erstellen, der aufgedeckten Probleme kurz auf den Punkt bringt. Diese Art Bericht bietet sich besonders bei sehr kurzen Audits an, um möglichst viel Zeit für in die eigentliche Analyse der Anwendung aufzuwenden.

Interesse?

Wir beantworten gerne Ihre Fragen oder senden auf Wunsch weitere Informationen zu. Bitte benutzen Sie dazu unser Kontaktformular, oder schreiben Sie eine Mail an info@sektioneins.de .