Security- und Penetration Testing

Wir prüfen Ihre Webseite und Ihre Hostingumgebung auf bekannte Sicherheitsprobleme und Konfigurationsfehler – einmalig oder als regelmäßigen Service. Finden wir Schwachstellen oder Konfigurationsfehler, helfen wir bei Bedarf bei der Behebung.

Dieses Angebot enthält die folgenden Bestandteile:

Sicherheitschecks

Server-Check

Wir prüfen die grundlegende Konfiguration Ihres Servers

HTTP-Header

HTTP-Header werden zum Schutz vor Phishing und XSS-Angriffen eingesetzt

CVE (Common Vulnerabilities and Exposure)

Wir prüfen Ihr System auf Common Vulnerabilities and Exposures (Bekannte Schwachstellen und Anfälligkeiten)

HTTPS-Konfiguration

Wir prüfen, ob die HTTPS-Verschlüsselung Ihrer Seite korrekt eingerichtet wurde

SQL-Injections

Wir prüfen Ihre Formulare und interaktiven Anwendungen auf SQL-Schwachstellen

Cross-Site-Scripting (XSS)

Wir prüfen Ihre Formulare und interaktiven Anwendungen auf XSS-Schwachstellen

HTTP-Header

HTTP Header kontrollieren u.a. die folgenden sicherheitsrelevanten Grundlagen einer Seite:

Welche Scripte dürfen ausgeführt werden
Von welchen Quellen dürfen Elemente wie Scripte, Stylesheets, Videos oder Bilder geladen werden (grundlegender Schutz vor Phishing)
Wo darf meine Seite eingebunden werden
Cookie-Einstellungen
Welche Informationen meiner Besucher werden an andere Seiten weitergegeben (z.B. nach dem Klick auf einen Link zu einer externen Seite wie Facebook oder Instagram)

Die folgende Liste zeigt die wichtigsten HTTP-Header:

Grundlegender Server-Check

Wir prüfen die grundlegenden Einstellungen Ihres Servers:

Offene Ports: sind wirklich nur die notwendigen Ports geöffnet? Für einen Webserver empfehlen wir ausschließlich die Verwendung der Ports 80 und 443, welche zum Aufrufen der Webseite notwendig sind. Alle anderen Ports sollten nicht für den öffentlichen Zugriff freigegeben werden
HTTPS: Ist eine Verbindung nur per HTTPS möglich? Unverschlüsselte Verbindungen gelten als Sicherheitsrisiko und sollten vermieden werden

CVE (Common Vulnerabilities and Exposure)

Werden bekannte Sicherheitslücken nicht zeitnah gepatched oder entsprechende Bibliotheken aktualisiert, muss ein betroffenes System als unsicher angesehen werden. Sicherheitslücken gibt es in jeder Software, egal ob Betriebssystem, SSH-Service, Webserver, Backend-Sprachen (Java, php, python, perl), Datenbanken, Frontend-Bibliotheken (jQuery, React, Angular, Vue, ...).

Wir prüfen Ihre Webseite auf bekannte Schwachstellen (CVEs) und helfen bei der Beseitigung.

Standardkonfigurationen

Es gibt viele Standardeinstellungen z.B. von Webservern, die es Angreifern ermöglichen, nicht nur Informationen auszuspähen sondern ggf. auch gezielete Angriffe auszuführen. Dazu zählen unter anderem nicht geänderten Standardpasswörter, auslesbare Konfigurationsdateien oder auslesbare Verzeichnisinhalte.

Wir prüfen diese Standardeinstellungen für gängige Webserver ab und erstellen eine Liste mit Änderungsvorschlägen.

SQL-Injection

Wenn Daten z.B. aus Formularen an Server übertragen und dort in Datenbanken gespeichert werden, besteht die Gefahr der Manipulation. Angreifer können bei nicht ausreichender Validierung die Daten so manipulieren, dass beliebige Inhalte aus der Datenbank ausgelesen werden können. Auch ist es möglich, Daten zu manipulieren oder komplett zu löschen.

Diese Angriffsmethode nennt man SQL-Injections.

Wir prüfen für einzelne Anwendungen ob SQL-Injections möglich sind und helfen bei der Beseitigung.

Cross-Site-Scripting Angriffe

Werden Daten aus Formularen oder URLs nicht korrekt validiert, ist es Angreifen möglich, Inhalte von Webseiten zu manipulieren. Das reicht von einfachen Textänderungen bis hin zum kompletten Austauscht aller Inhalte. Es ist dann z.B. möglich, Besucher zur Eingabe von privaten Daten zu verleiten oder Fehlinformationen zu verbreiten.

Wir prüfen einzelne Seiten auf die Möglichkeit von XSS-Angriffen und helfen bei der Beseitigung.