Web Applicatie Penetratietesten: Wat Wordt er Getest en Wat Onthult het?
Een web applicatie penetratietest gaat verder dan geautomatiseerd scannen. Menselijke testers ketenen kwetsbaarheden, testen bedrijfslogica en vinden wat scanners missen. Deze gids legt uit wat een web applicatie pentest dekt, hoe het verschilt van een kwetsbaarheidsscan en welke bevindingen u kunt verwachten.
TL;DR
Een web applicatie penetratietest is geen geautomatiseerde scan met een rapport eraan gekoppeld. Het is een gestructureerde, handmatige beveiligingsbeoordeling uitgevoerd door menselijke testers die uw applicatie benaderen zoals een echte aanvaller dat zou doen. De meest schadelijke kwetsbaarheden in webapplicaties, gebroken toegangscontrole, bedrijfslogicafouten, meerstapsaanvalsketens, worden niet gevonden door scanners. Ze worden gevonden door testers die begrijpen hoe de applicatie werkt en zoeken naar de gaten tussen bedoeld gedrag en werkelijk gedrag.
Wat een web applicatie pentest werkelijk dekt
Authenticatie en sessiebeheer
Testing dekt hoe de applicatie gebruikers authenticeert, hoe ze sessies beheert na authenticatie en wat er gebeurt aan de grenzen: inloggen, uitloggen, wachtwoordherstel, accountvergrendeling, handhaving van multi-factor authenticatie en sessietokenbeveiliging. Authenticatiezwakheden behoren tot de meest uitgebuite kwetsbaarheden bij echte aanvallen.
Toegangscontrole
Gebroken toegangscontrole is consistent de topbevinding bij beveiligingsbeoordelingen van webapplicaties. Testers verifiëren dat elke gebruiker alleen de functies en gegevens kan bereiken waarvoor ze geautoriseerd zijn, dat horizontale privilege-escalatie niet mogelijk is, dat verticale privilege-escalatie niet mogelijk is en dat toegangscontroles server-side worden afgedwongen in plaats van te vertrouwen op client-side beperkingen.
Injectiekwetsbaarheden
Injectietesting dekt SQL-injectie, opdrachtinjectie, LDAP-injectie, XML-injectie en andere injectievarianten in alle applicatie-invoeren. Dit omvat parameters, headers, cookies, bestandsuploads en elk ander mechanisme waardoor door de gebruiker gecontroleerde gegevens de backendverwerking van de applicatie bereiken.
Bedrijfslogicatesten
Bedrijfslogicafouten zijn de meest gemiste categorie bij geautomatiseerde beveiligingstesten. Ze ontstaan wanneer de applicatie haar eigen beoogde regels niet correct afdwingt. Kan een gebruiker een prijs manipuleren? Kan een gebruiker het account van een andere gebruiker bekijken door een ID te wijzigen? Kan een gebruiker een vereiste validatiestap overslaan? Kan een gebruiker een functie aanroepen waartoe ze geen toegang mogen hebben door de requestvolgorde te manipuleren? Dit vereist een tester die het doel van de applicatie begrijpt.
Cross-site scripting en client-side beveiliging
Testing dekt cross-site scripting (XSS) in opgeslagen, gereflecteerde en DOM-gebaseerde varianten, cross-site request forgery, clickjacking, content security policy-configuratie en andere client-side kwetsbaarheden die eindgebruikers treffen.
Applicatieconfiguratie en infrastructuur
Misconfiguraties in webservers, frameworks en applicatie-infrastructuur zijn een significante bron van exploiteerbare kwetsbaarheden. Testing dekt HTTP-beveiligingsheaders, TLS-configuratie, server-side configuratie, foutafhandeling en eventuele blootgestelde administratieve interfaces of ontwikkelartefacten.
Wat geautomatiseerde scanners missen
Geautomatiseerde kwetsbaarheidsscanners zijn nuttig voor dekking op schaal. Ze zijn geen vervanging voor handmatige penetratietesten. Het verschil tussen wat een scanner vindt en wat een bekwame menselijke tester vindt is consistent significant.
Scanners missen bedrijfslogica kwetsbaarheden omdat ze het doel van de applicatie niet begrijpen. Ze missen meerstaps aanvalsketens omdat ze invoeren geïsoleerd testen. Ze missen authenticatie context afhankelijke kwetsbaarheden omdat ze niet kunnen redeneren over wat een ingelogde gebruiker wel en niet zou moeten kunnen doen. Ze missen tweede-orde-injectie waarbij kwaadaardige invoer wordt opgeslagen en later wordt uitgevoerd. Ze genereren valse positieven die herstelresources verbruiken aan niet-problemen.
Black-box, grey-box en white-box testen
Black-box testen simuleert een externe aanvaller zonder voorkennis van de applicatie. Grey-box testen biedt de tester enige context, doorgaans gebruikersreferenties voor verschillende rollen. Dit is de meest gangbare aanpak voor web applicatie pentests. White-box testen biedt de tester volledige technische context inclusief broncode en architectuurdocumentatie.
FAQ
Wat is web applicatie penetratietesten?
Web applicatie penetratietesten is een gestructureerde beveiligingsbeoordeling van een webapplicatie uitgevoerd door menselijke testers die dezelfde technieken en tools gebruiken als echte aanvallers. Het dekt authenticatie en sessiebeheer, invoervalidatie, toegangscontrole, bedrijfslogica, client-side beveiliging en de interactie van de applicatie met zijn onderliggende infrastructuur. Een web applicatie pentest vindt kwetsbaarheden die geautomatiseerde scanners missen omdat het begrip vereist van hoe de applicatie werkt, niet alleen welke handtekeningen het matcht.
Hoe verschilt een web applicatie pentest van een kwetsbaarheidsscan?
Een kwetsbaarheidsscan voert geautomatiseerde tools uit tegen een doelwit en rapporteert bevindingen op basis van bekende kwetsbaarheidshandtekeningen. Het is snel en schaalbaar maar mist bedrijfslogica fouten, meerstaps aanvalsketens, authenticatieomzeilingen die afhangen van applicatiecontext en elke kwetsbaarheid die niet overeenkomt met een bekend patroon. Een web applicatie pentest omvat menselijke testers die begrijpen hoe de applicatie geacht wordt te werken en kwetsbaarheden kunnen identificeren die alleen zichtbaar worden wanneer de applicatie wordt getest zoals een echte aanvaller het zou gebruiken.
Wat dekt de OWASP Top 10?
De OWASP Top 10 is een veel geraadpleegde lijst van de meest kritieke beveiligingsrisico's voor webapplicaties. Het dekt gebroken toegangscontrole, cryptografische fouten, injectieaanvallen, onveilig ontwerp, beveiligingsmisconfiguratie, kwetsbare en verouderde componenten, identificatie- en authenticatiefouten, software- en data-integriteitsfouten, beveiligingslogging- en monitoringfouten en server-side request forgery. Een web applicatie pentest dekt de OWASP Top 10 als basis maar gaat er ver bovenuit om applicatie specifieke logica en architectuur te dekken.
Wat is bedrijfslogicatesten in een web applicatie pentest?
Bedrijfslogicatesten beoordeelt of de applicatie haar beoogde regels correct afdwingt. Voorbeelden zijn: kan een gebruiker een artikel voor een negatieve prijs kopen, kan een gebruiker de gegevens van een andere gebruiker bekijken door een ID-parameter te wijzigen, kan een gebruiker een vereiste stap in een meerstaps proces overslaan en kan een gebruiker een actie vaker uitvoeren dan de applicatie zou moeten toestaan. Deze kwetsbaarheden verschijnen niet in geautomatiseerde scans omdat ze begrip vereisen van wat de applicatie bedoeld is te doen.
Hoe lang duurt een web applicatie penetratietest?
Een web applicatie penetratietest duurt doorgaans drie tot tien dagen testertijd, afhankelijk van de grootte en complexiteit van de applicatie, het aantal gebruikersrollen, de complexiteit van de bedrijfslogica en of de test black-box, grey-box of white-box is. Eenvoudige applicaties met beperkte functionaliteit kunnen in drie tot vier dagen worden getest. Complexe applicaties met veel rollen, integratiepunten en aangepaste bedrijfslogica kunnen acht tot twaalf dagen vereisen.
Wat is het verschil tussen black-box, grey-box en white-box testen?
Black-box testen simuleert een externe aanvaller zonder voorkennis van de applicatie. De tester ontdekt de functionaliteit van de applicatie via verkenning. Grey-box testen biedt de tester enige context, zoals gebruikersreferenties voor verschillende rollen, wat efficiëntere dekking van geauthenticeerde functionaliteit mogelijk maakt. White-box testen biedt de tester broncode, architectuurdocumentatie en volledige technische context. Grey-box testen is de meest gangbare aanpak voor web applicatie pentests omdat het realistische aanvalssimulatie combineert met efficiënte dekking van de volledige applicatie.
Gerelateerde diensten en bronnen
Sectricity voert web applicatie penetratietesten uit voor webapplicaties, portalen, SaaS-platforms en aangepaste bedrijfsapplicaties. Voor continue dekking biedt ons RedSOC PTaaS-platform on-demand testkredieten in onze volledige servicecatalogus. Voor gerelateerd lezen, zie onze gidsen over wat een pentest is en penetratietesten versus kwetsbaarheidsscannen. Start met een gratis security scan.