@-yet GmbH 
Case Study

Sicherheitscheck einer Webapplikation für einen Filialisten aus der Nahrungsmittelbranche


Kunde:
Filialist aus der Nahrungsmittelbranche
Branche:
Handel
Thema:
Überprüfung der IT-Sicherheit einer Webapplikation
Trusted References Siegel
Ausgestellt für:
@-yet GmbH
Ausgestellt am:
15.03.2017
Ausgestellt durch:
NDA
Gültigkeitsnachweis:
https://www.trustedreferences.de/referenz/WDT2/99/
Zusammenfassung

Ein großes Handelsunternehmen beauftragte die @-yet GmbH den aktuellen Sicherheitsstatus einer Webapplikation zu einer geplanten Umfragekampagne des Unternehmens mittels eines Greybox-Penetrationstests zu überprüfen. Die Betaversion der Applikation wurde seitens der Entwickler zur Verfügung gestellt und durch die @-yet "angegriffen". Die Ergebnisse der sehr erfolgreichen Angriffe wurden den Entwicklern in einer nach Kritikalität bewerteten Zusammenfassung zur Verfügung gestellt, die auch Handlungsempfehlungen zur Behebung der Schwachstellen enthielt. Nach Bearbeitung der Schwachstellen wurde die Anwendung durch @-yet einem Recheck unterzogen und abschließend freigegeben.

Top-Kompetenzen (maximal 6 Nennungen, aus 15 Kompetenzen)
Präzise Projektplanung
Termine & Zeitmanagement
Anforderungsmanagement
Fachliche Qualifikation
Methodenkompetenz
Qualität der Ergebnisse
Kundenzitat
NDA
Aufgabenstellung

Ein großes Handelsunternehmen beauftragte die @-yet GmbH den aktuellen Sicherheitsstatus einer  Webapplikation zu einer geplanten Umfragekampagne des Unternehmens mittels eines Penetrationstests zu überprüfen.  Der Pentest sollte als Greybox-Test stattfinden.

Lösungsansatz

Dieses Security Assessment wurde als  Offsite-Penetrationstest & Webapplikations-Check durchgeführt. Die Tests wurden als Greybox-Tests durchgeführt, bei denen die URL der zu testenden Webapplikation, sowie einzelne weitere Detailinformationen zu den verwendeten Technologien bekannt gemacht wurden. Im Rahmen des Webapplikations-Checks wurden u. a. mindestens folgende Bereiche geprüft: Abschottung, Trennung von Benutzerkonten, Identifikation von Übergängen, Zugriff auf Backend-Dienste, Kompromittierung anderer Systeme, Angriffe auf den Datenverkehr.
Es wurden hierbei insbesondere die folgenden Schwachstellen berücksichtigt: Konfigurationsfehler, schwache Verschlüsselung, XSS, SQL Injection, Directory Traversal, Script Injection, Berechtigungen, Authentication Bypass, File/Upload Download Schwachstellen, Denial of Service, Request Forgery, Software- und Modul-Versionen, Schwachstellen der Same Origin Policy, etc.

Ergebnisse

Nahezu alle Testmethoden führten zum "Erfolg" und wurden hinsichtlich ihrer Kritikalität bewertet. Zur Behebung der identifizierten Schwachstellen wurden  konkrete Handlungsempfehlungen und Maßnahmen beschrieben.

Erfahren Sie direkt von @-yet GmbH mehr zu dieser Referenz:

Besuchen Sie die Webseite von @-yet GmbH für weitere Informationen: