Penetrationstest einer Webanwendung
Penetrationstest auf Applikationsebene einer PHP-basierten Anwendung zur Verwaltung von umweltrelevanten Messdaten.
Die Aufgabenstellung
Ein Kunde stellt eine web-basierte Software her, um umweltrelevante Daten zu verwalten. Da diese Daten kritisch für die Endkunden sind, wollte das herstellende Unternehmen sicherstellen, dass kein unbefugter Zugriff möglich ist. Die Securai wurde mit einem Penetrationtest auf die Web-Applikation beauftragt.
Unsere Herangehensweise
Nach einer Vorbesprechung, in der die grundsätzliche Bedienung geklärt und die Ziele des Pentests nochmal hervorgehoben wurden, startete die Überprüfung. Die Experten der Securai orientierten sich dabei an den OWASP Top Ten, dem OWASP ASVS und der eigenen Checkliste um systematisch Schwachstellen in der Applikation zu identifizieren.
Der Mehrwert für den Kunden
Es konnten mehrere, teilweise kritische Schwachstellen in der Applikation aufgedeckt werden, unter anderem konnte beliebiger Code auf dem Webserver ausgeführt und das Berechtigungsmanagement umgangen werden. Unser Kunde nutzte die Ergebnisse der Überprüfung um seine Software abzusichern. Mit einem Nachtest konnte die Securai bestätigen, dass die Schwachstellen geschlossen werden konnten.