Sicherheitsprüfungen / Sicherheitsaudits


Sicherheitsprüfungen / Sicherheitsaudits

Die Sicherheitsprüfungen, auch Sicherheitsaudit,Security Audit oder Penetrationstest (PenTest) genannt, basieren auf unterschiedlichen Techniken und Verfahren. Es kommen automatische, teilautomatische, manuelle oder persönliche Audits zum Einsatz.
Persönliche Sicherheitsprüfungen werden meist durch Befragung und Inaugenscheinnahme durchgeführt.

Diese PenTests sind besonders für Internetshops und Webportale geeignet. Aber auch auf kleineren Webseiten werden Sicherheitslücken (Vulnerability) gesucht und aufgedeckt.

Web-Security-Audit I (Serverumgebung)

Diese Sicherheitsprüfung sollte jede Webseite durchlaufen. Hier werden die Basics (Grundlagen) des Servers getestet.

Das Web-Security-Audit I ist die Grundlage für alle weiteren Sicherheitsaudits. Dieser Penetrationstest überprüft die Serverumgebung. Hierbei werden zum Beispiel geprüft:

  • Fehlerhafte Konfigurationen von PHP
  • Fehlerhafte Konfigurationen von Apache
  • Weitere Misskonfigurationen
  • Patchlevel

Fehlerhafte Konfigurationen sind gern genutzte Sicherheitslücken und bieten dem Angreifen viele Möglichkeiten.

Das Ergebnis wird in einem (englischsprachigen) Bericht übergeben.

Das Web-Security-Audit I ist die Grundlage für alle weiterführenden Web-Security-Audits. Nach der Beseitigung aller Mängel sollte mindestens das Web-Security-Audit II durchgeführt werden, um ein gutes Schutzniveau sicherzustellen.

 


Web-Security-Audit II (Vulnerability Scanner)

Vielfältige Penetrationstests prüfen Ihre Webseite, Internetshop oder Kundenportal. Die Sicherheitslücken und werden in einem Bericht ausgewertet.

Das Web-Security-Audit II umfasst alle Prüfung des Web-Security-Audit I der die Grundlage für alle weiteren Web-Security-Audits darstellt. Das Web-Security-Audit II ist ein Vulnerability Scanner und beinhaltet die folgenden Prüfungen:

  • Insecure crossdomain.xml file
  • Insecure transition from HTTP to HTTPS
  • URL redirection
  • Hidden form input
  • OPTIONS method is enabled
  • Slow response time
  • User credentials are sent in clear text
  • WebDAV Enabled
  • Broken links
  • Content type is not specified
  • Email address found
  • Password type input with autocomplete
  • SSL Certificate Details
  • SSL Protocol Versions
  • SSL Protocol Features, z.B. Heartbleed
  • SSL Cipher Suites Enabled
  • Blind SQL Injection
  • Blind Cross Site Scripting
  • DOM-based Cross-Site Scripting
  • Application error message
  • ASP.NET & PHP debugging
  • File upload
  • Session Cookie without Secure flag

Das Ergebnis wird in einem ausführlichen (englischsprachigen) Bericht übergeben. Mit diesem Penetrationstest haben Sie die Grundlage für eine Schutz gegen die einfachen und mittleren Angriffsszenarien.

Wir empfehlen, dass Sie den Penetrationstest regelmäßig wiederholen. Zum einen entwickeln Sie Ihr System weiter, wobei neue Fehler und Sicherheitslücken eingebunden werden. Zum anderen entwickeln die Angreifer immer neue Methoden und es werden neue Sicherheitslücken bekannt.

Das Web-Security-Audit III prüft zusätzlich SQL-Injection und Cross Site Scripting.

 


Web-Security-Audit III (mit SQL-Injection)

SQL-Injection und Cross Site Scripting sind beliebte Einfallstore für Hacker. Wir zeigen Ihnen die Sicherheitslücken Ihres Webservers / Internetseite.

Bevor dieser Penetrationstest durchläuft prüft unser Techniker Ihre Webseite, Ihren Internetshop oderIhr Web-Kundenportal. Mit den gesammelten Erkenntnissen wird eine Map erstellt, die die Grundlage für die folgenden Penetrationstest sind. Gegen jede in der Map abgelegte Unterseite wird eine Vielzahl von Angriffsversuchen durchgeführt. Neben den Prüfungen der Web-Security-Audit I und Web-Security-Audit II werden zusätzliche Schwerpunkt auf Cross Site Scripting und SQL-Injection gelegt.

Bei der SQL-Ijection wird versucht über Formularfelder oder andere Lücken SQL-Code in einzuschleusen, um so Zugriff auf die Datenbank zu bekommen.

Das Cross Site Scritping versucht ebenfalls Schadcode in die Webseite einzuschleusen. Hier geht um Javascript-Code mit dem in der Regel versucht wird, den Besucher Ihrer Webseite auf eine andere Webseite zu locken oder ihn (oder Sie) in anderer Weise zu schädigen.

 


Web-Security-Audit IV (Hacker-Angriff)

Sie möchten wissen, wie sicher Ihr System ist? Unsere Techniker prüfen Ihr System und finden die Sicherheitslücken.

In dem Web-Security-Audit IV versucht ein Techniker mittels verschiedener Verfahren in die Webseite einzubrechen und Daten auszulesen – wie ein Hacker oder Cracker. Bevor diese Sicherheitsprüfung (Sicherheitsaudit) durchgeführt wird, sollten das Web-Security-Audit I, das Web-Security-Audit II und das Web-Security-Audit III abgeschlossen sein und alle darin aufgeführten Gefährdungen und Mängel beseitigt worden sein.

Sie legen das Ziel des Angriffs bzw. den Umfang der Leistungen fest.

 


Web-Security-ReAudit

Nur wenn Sie regelmäßig die Penetratoinstest wiederholen haben Sie dauerhafte Sicherheit.

Wir bieten Ihnen eine Vielzahl von Sicherheitsüberprüfung, Penetrationstest und Vulnerability Scannern an. Mit den Ergebnisse aus diesen Tests können Sie die Sicherheitslücken in Ihrem System auffinden und schließen. Der einmalige Penetrationstest ist toll, doch reicht das für die Zukunft?

Ständig werden neue Sicherheitslücken bekannt. Auch Programmierer, Admins und IT-Techniker sind Menschen und machen Fehler. Deswegen ist es wichtig, dass Sie in regelmäßigen Abständen Ihr System erneut prüfen lassen. Für Reaudits (Wiederholungsprüfungen) bieten wir interessante Rabatte an.

 


Telefon

0800-50501059
bundesweit - kostenlos

E-Mail

info@hubit.de

Öffnungszeiten

Montag - Freitag: 09:00 – 16:00 Uhr

Adresse

Bergiusstr. 4, 28816 Stuhr



Unsere Kernleistungen auf einen Blick:


Datenschutz

 

Unternehmen ab 10 Mitarbeitern benötigen einen Datenschutzbeauftragten. Dieser kann auch extern gestellt werden. Er kümmert sich um alle Datenschutzangelegenheiten und bringt viele Vorteile gegenüber einem internen….

Informationssicherheit (ISO 27001)

Die Informationssicherheit ist vergleichbar mit der Prozess- und Qualitätssicherung.
Durch ein Information Security Management System (ISMS nach ISO 27001) werden bei beiden die Risiken, Prozesse und…

Internet Service

 

Das Internet existiert nicht einfach nur, sondern ist auch ein fester Bestandteil unserer täglichen Arbeit: Kaum jemand, ob Kunde oder Unternehmer, kommt heute ohne das Internet aus. HUBIT begleitet Sie bei der Verwendung…

Akademie

 

Die HUBIT Akademie ist ein Schulungszentrum und eine Plattform für Weiterbildung in einem.
Regelmäßig finden Seminare statt, und verschiedene Referenten laden zu interessanten Veranstaltungsreihen ein…