Security Testing
OWASP ASVS Assessment
Penetrationstests nach dem OWASP Application Security Verification Standard (ASVS) sind umfassender und folgen strengeren Vorgaben.
Was ist das Besondere eines ASVS Assessments?
Während unserem Standard Web Application Penetrationstest eine an den Schutzbedarf der Anwendung angepasste Maximierung des Kosten-Nutzen Verhältnisses zugrundeliegt, folgt das ASVS Assessment den von der OWASP standardisierten Vorgaben. Bei Mobile Apps kommt entsprechend der Mobile Application Security Verification Standard (MASVS) zum Einsatz.
Ein ASVS Assessment ist in aller Regel signifikant aufwändiger als ein normaler Penetrationstest und enthält auch Prüfpunkte, welche die Zuarbeit des Auftraggebers erfordern.
Die Dokumentation der Ergebnisse erfolgt auch in einer Excel-Datei, in welcher sämtliche Anforderungen des ASVS samt Testergebnissen und Bewertung strukturiert und leicht durchsuchbar aufgeführt sind.
ASVS Assessment
-
Eignung
Der ASVS formuliert eine ausführliche Liste an Anforderungen, die bei Entwicklung und Betrieb sicherer Software beachtet werden sollten. Er eignet sich insbesondere auch als Leitfaden während der Entwicklung, um im Rahmen eines Secure Software Development Lifecycle Sicherheitsanforderungen möglichst frühzeitig zu definieren und umfassend in den Prozess zu integrieren.
Diese Art des Assessments ist außerdem zu empfehlen:
bei besonders hohem Schutzbedarf
bei entsprechenden Complianceanforderungen
exemplarisch an einer ausgewählten Anwendung als geeignetes Mittel zur Bestimmung des allgemeinen Securityniveaus und Ableitung weiterführender Sicherheitsmaßnahmen.
Wir beraten Sie gerne!
-
Betrachtete Aspekte
Der ASVS behandelt sowohl sehr technische Aspekte (z.B. „Stellen Sie sicher, dass Ihr Code konzeptionell sicher gegen SQL-Injection-Angriffe ist.“), als auch konzeptionelle Punkte (u.a. „Landen sensible Daten in Logs? Wo werden Logs abgelegt? Wer hat darauf Zugriff?“). Eine Analyse nach ASVS umfasst somit fast immer Themen, die nicht allein durch Blackbox-Tests abgedeckt werden können. Für diese Aspekte werden Maßnahmen wie Sourcecodeanalysen, Konfigurationsreviews und Audits eingesetzt.
Beispiel: Bei einer sensitiven Anwendung wie z.B. einem Branchenportal, das mit wettbewerbskritischen Daten und Prozessen arbeitet, werden intensivere und tiefergehende Tests durchgeführt als bei einer weniger kritischen Anwendung, wie etwa einem Diskussionsforum.
-
Drei Level
Je nach Schutzbedarf der Anwendung teilt die OWASP Anforderungen in die Level 1 bis 3 auf:
Die Anforderungen des Level 1 richten sich an Anwendungen mit geringem Schutzbedarf und können in Form eines Penetrationstests geprüft werden.
Level 2 umfasst Anwendungen, die teils schützenswerte Daten verwalten. Die meisten Anwendungen im betrieblichen Umfeld fallen unter diese Kategorie. Große Teile des Level 2 stellen dabei konzeptionelle Fragen, die in Form eines Audits beantwortet werden müssen.
Level 3 schließlich formuliert Anforderungen für Anwendungen mit besonderem Schutzbedarf, z.B. solche, die medizinische Daten verwalten.
Unsere Unterstützung
Beratung hinsichtlich der Auswahl des geeigneten Levels unter Berücksichtigung von Schutzbedarf, Complianceanforderungen und Kostengesichtspunkten.
Überprüfung Ihrer Webanwendung nach OWASP ASVS oder Ihrer mobilen App nach MASVS mit Hilfe von Penetrationstests, Sourcecodeanalysen, Konfigurationsreviews und Audits
Übersichtliche und einfache Dokumentation der Ergebnisse mit Maßnahmenvorschlägen.
Im Nachgang, bei der Umsetzung von Maßnahmen
Ihr Ansprechpartner
Thomas Schönrich
Nehmen Sie Kontakt per E-Mail auf, rufen Sie uns an oder nutzen Sie unser Kontaktformular.
Mehr Infos
Statische Codeanalyse kann eine Ergänzung oder Alternative zum Penetrationstest sein: Manuelle und automatische Codeanalyse
KARRIERE
Du bist Experte in diesem Thema?
Dann könnte unser tolles Team vielleicht zur neuen Heimat für dich werden.
Du bist noch Einsteiger?
Dann schau auch hier:
