tl;dr: Brute-Force Angriffe im Rahmen eines Penetrationstests bieten so gut wie keinen Mehrwert und stellen in fast allen Fällen eine falsche Verwendung der Prüfungsressourcen dar. Zielführender ist es stattdessen, gezielt den Schutz der Anwendung vor dieser Angriffsart zu untersuchen und zu prüfen. Um was geht es? Moderne Angreifer:innen benutzen eine Vielzahl an Angriffstechniken, die eine große Bandbreite von technisch ausgefeilt […]
weiterlesen …
Vortrag auf der verinice.XP zum Thema ISMS und Penetrationstests
Penetrationstests als Teil eines ISMS? Manche Standards fordern es explizit in den Anforderungen, andere wiederum nur implizit. Warum ist ein konstantes Zusammenspiel wichtig und welche Vorteile können dabei entstehen? Viktor Rechel, Penetrationstester, ISMS-Berater und ISO 27001-Auditor in unserem Haus, wird in seinem Vortrag „Penetrationstests als Teil eines ISMS – Grundlagen, Relevanz und mögliche Ansätze“ auf der verinice.XP, praxisnah von seinen […]
weiterlesen …
Fachartikel: Penetrationstests von Anwendungen
Penetrationstests von Webanwendungen sind individuell zu planenden Projekte. In unserem Haus sprechen wir mit Interessenten stets über die konkreten Ziele und die Anwendung selbst. Der Business-Case ist für das Risiko nämlich der entscheidende Faktor. Bei der Planung gibt es viele Stolpersteine. In der Winterausgabe 2021/22 der iX Developer hat Tobias Glemser einen Fachartikel über Penetration Testing von Webanwendungen veröffentlicht. Wenn […]
weiterlesen …
„Shift Left“ ist das Paradigma für sichere Softwareentwicklung. Sichere Entwicklung in den Entwicklungsprozess zu denken, ist das Ziel. Neben dem „Secure Coding“ sollten auch objektive Prüfungen in den Entwicklungsprozesse einbezogen werden. Als Teil dieser Prüfungen können Penetrationstests hinzugezogen werden, um Risiken und Schwachstellen ermitteln zu können. Die Konferenz heise devSec bietet Vorträge und Workshops rund um das Themengebiet der sicheren […]
weiterlesen …
In Ausgabe 1-2019 berichtet Tobias Glemser über Planungsaspekte und Stolpersteine bei der Prüfung von Webanwendungen durch Penetrationstests. Der Artikel beleuchtet die wichtigsten Planungsaspekte wie die Prüfung von Rollen- und Rechtemodellen, Umgang mit Web-Application-Firewalls und CAPTCHAs. Die JAVAPRO ist kostenlos auf der Webseite der Zeitschrift bestellbar.