Teilautomatisiert - kurz und bündig
Diese Test-Variante überprüft grösstenteils toolbasiert Ihre externen und internen Web-Applikationen auf bekannte Schwachstellen. Protect7 überprüft gefundene Schwachstellen auf False-Positives und bewertet die Risiken im Kontext Ihrer Unternehmung.
Die eingesetzte Software untersucht automatisch Ihre Web-Applikation und versucht, die gängigsten Angriffsszenarien durchzuführen. Neben Schwachstellen in Ihrer Applikation findet es auch typische Konfigurationsfehler des Webservers und des Applikationsservers.
Die wichtigsten Punkte bei einem teilautomatisierten Test:
- Informationsbeschaffung durch erzeugte Fehlermeldungen oder ungehärtete Applikationen
- Umgehen der Authentifizierung & Autorisierung
- Analyse des Session-Management und Möglichkeiten zum Aushebeln
- Ausprobieren von Injection Angriffen gegen Datenbanken, User Directories oder ähnlichem, um direkt von Eingabefeldern aus auf eigentlich versteckte Daten zuzugreifen (SQL Injection, Code injection etc.)
- Analysieren ob Cross Site Scripting (XSS) möglich ist, wodurch fremder Code auf Ihrer Web-Applikation eingeschleust werden kann, wodurch Ihre Kunden zu Opfern werden könnten
- Überprüfung der Resultate, sowie spezifische manuelle Tests durch einen unserer Security Engineers
- Manuell erstellte Risikoeinschätzung und Management Summary
Das Hauptziel der teilautomatisierten Überprüfung besteht darin, herauszufinden ob Ihre Applikationen in Bezug auf die bekanntesten Angriffsszenarien anfällig sind. Aktuell vorhandene Risiken werden im Kontext Ihrer Unternehmung aufgezeigt, sowie automatisch rapportiert.