Security Services

Sicherheitsprüfung des Codes

Webapplikationen haben sich für fast alle Unternehmen zu unverzichtbaren Komponenten für die Erfassung, Verarbeitung, Speicherung und Übertragung von sehr oft sensiblen Daten (wie z.B. vertrauliche Geschäftsinformationen, Personaldaten, Finanzinformationen usw.), entwickelt.

Der hohe Wertigkeitsgrad der über Webanwendungen abgerufenen Daten erhöht aber auch dessen Zielwert für Cyberkriminelle. Aus diesem Grund sind regelmässige Sicherheitsbewertungen der Applikation dringend empfohlen.

Unser Team verwendet eine hybride Methodik, die aus automatisierten und manuellen Tests besteht, um den Quellcode Ihrer Java-, PHP- und .NET-Webanwendungen zu bewerten und um Schwachstellen zu identifizieren. Unsere Bewertungen beinhalten auch eine Ausbeutungs-Phase, die es unseren Kunden ermöglicht die Risiken die entsprechenden Schwachstellen zu minimieren und besser zu verstehen. Wir testen Webapplikationen bevor es Cyberkriminelle tun.

Unsere Dienstleistungen basieren auf hochqualifizierten Cybersicherheitsanalysten und -entwicklern mit umfangreicher Erfahrung sowohl in der Verteidigung als auch in der Offensive.

Was testen wir bei einer Secure Code Review?

Unsere Secure Code Review deckt die OWASP Top Ten Schwachstellen und CWE/SANS TOP 25 Dangerous Software Errors ab. Im Folgenden eine nicht abschliessende Liste der Elemente, die überprüft werden:

Injection Flaws

Webbasierte Bedrohungen wie SQL-Injektion, OS Command Injection und LDAP- Injection, die dann auftreten können wenn benutzerdefinierte Daten als Teil eines Befehls oder einer Abfrage an eine Webanwendung gesendet werden. Die bösartige Nutzlast des Angreifers kann die Webanwendung dazu bringen unbeabsichtigte Befehle auszuführen oder ohne entsprechende Berechtigung auf Daten zuzugreifen.

Cross Site Scripting (XSS)

XSS-Schwachstellen treten dann auf, wenn eine Webanwendung benutzerdefinierte Eingaben in einer Webseite ohne ordnungsgemässe Überprüfung und Escaping akzeptiert. Cross Site Scripting ermöglicht es einem Angreifer, Skripte im Browser des Opfers auszuführen, die Benutzersitzungen zu entführen, Websites verunstalten oder den Benutzer auf bösartige Websites umleiten können.

Broken Authentication

Authentifizierung und Session-Management sind häufig falsch konzipiert. Damit können Cyberkriminelle Anmeldeinformationen, Keys oder Session-Token gefährden oder andere Fehler ausnutzen, um die Identität anderer Benutzer anzunehmen.

Sensitive Data Exposure

Viele Webanwendungen und APIs schützen sensible Informationen wie Kreditkartennummern, Benutzerdaten, Patienteninformationen usw. nicht ausreichend. Cyberkriminelle können solche schwach geschützten Daten entwenden oder missbrauchen, um Kreditkartenbetrug, Identitätsdiebstahl oder andere Verbrechen zu begehen.

XML External Entities (XXE)

Zahlreiche ältere oder schlecht konfigurierte XML-Parser werten externe «entity references» in XML-Dokumenten aus. «External entities» können verwendet werden, um interne Dateien mit Hilfe des Datei-URI-Handlers, der internen Dateifreigabe, des internen Port-Scans, der Remotecodeausführung und von Denial-of-Service-Angriffen, offenzulegen.

Broken Access Control

Einschränkungen, was authentifizierte Benutzer tun können, werden oft nicht ordnungsgemäss durchgesetzt, was zu horizontalen und vertikalen Berechtigungserweiterung führen kann. Angreifer können diese Fehler ausnutzen um auf unbefugte Funktionen und Informationen zuzugreifen, wie z.B. auf die Konten anderer Benutzer, sensible Dateien einsehen, Daten anderer Benutzer zu ändern, Zugriffsrechte ändern, etc..

Unsere Secure Code Reviews können durch einen Penetrationstest für Webanwendungen ergänzt werden, um eine umfassende und detaillierte Schwachstellenerkennung zu ermöglichen.

Was erhalten Sie?

Alle Ergebnisse werden in einem ausführlichen Abschlussbericht dokumentiert und anschliessend mit einem Stärken-Schwächen-Profil gegenüber internationalen Standards für IT- und Cybersicherheit verglichen. Die identifizierten Schwachstellen werden bewertet und durch Empfehlungen von Verbesserungsmassnahmen ergänzt sowie entsprechend dem damit verbundenen Risiko priorisiert dargestellt. Der Abschlussbericht wird im Rahmen einer Nachbesprechung mit dem Kunden besprochen. Der Bericht wird eine umfassende und aussagekräftige Zusammenfassung der durchgeführten Sicherheitsaudits oder Penetrationstests auf Management-Ebene enthalten. Darüber hinaus werden alle detaillierten Ergebnisse mit entsprechenden Nachweisen und Empfehlungen für zukünftige Sicherheitsmassnahmen enthalten sein

Web Application Penetration Test Report

Unsere Security & Penetration Testing Zertifizierungen

Die Sicherheitsberater und Penetrationstester der wizlynx group verfügen über die anerkanntesten Zertifizierungen in der Cybersicherheits- und Penetrationstestbranche: CREST CRT, SANS/GIAC GXPN, GPEN, GWAPT, GCIH, GMOB, OSCP, CEH, CISSP, CISA und weitere!

Top