← All insights
Case Study · VAPT

Web-/Anwendungsangriffe durch ein Sicherheitsaudit verhindern.

success story img detail10

Kundenüberblick

Führender Online-Händler mit einem großen Markenportfolio.

PROJEKTHERAUSFORDERUNGEN• Das Unternehmen wollte die Website auf technische und gestalterische Mängel testen, die es Hackern ermöglichen könnten, unethische Transaktionen durchzuführen. Es hat außerdem den Schutz der Website vor Webangriffen wie XSS, CSRF, SQL-Injection usw. angefordert.

  • • Das Unternehmen wollte die Website auf technische und gestalterische Mängel testen, die es Hackern ermöglichen könnten, unethische Transaktionen durchzuführen. Es hat außerdem den Schutz der Website vor Webangriffen wie XSS, CSRF, SQL-Injection usw. angefordert.
  • • Das größte Anliegen des Unternehmens besteht darin, sicherzustellen, dass das Webportal für Kundentransaktionen und die Weitergabe persönlicher Informationen sicher ist.

Lösungen

  • • Wir haben einen Schwachstellentest für die Webseiten und über alle Kategorien hinweg auf Grundlage der OWASP- und MITRE-Standards durchgeführt.
  • • Wir haben eine statische und dynamische Quellcodeprüfung durchgeführt, um die Sicherheitsstandards zu erreichen.
  • • Funktionale Zuordnung der Webseiten mit URLs und zugehörigen Parametern.
  • • Sonderfalltests für Manipulationsangriffe (Tampering) im Zahlungsworkflow.
  • • Schwachstellenbewertungen für alle Webseiten auf Sicherheitsfehlkonfigurationen durchgeführt.
  • • Domänenbasierte Tests für Rechteausweitungen (Privilege Escalation) – Tests auf unbefugten Zugriff auf Premium-Konten mithilfe von Sitzungsprotokollen und -IDs.
  • • Such-Overflow-Angriffe durchgeführt, die die Schwachstellen in Bezug auf Serverunterbrechungen und die Reaktionsfähigkeit der App abdecken.
  • • Auf Injection-Angriffe geprüft – Einschleusung technologiebasierter Skripte/Dateien in URLs und Suchfelder.
  • • Penetrationstests mit Proxy-Techniken durchgeführt, um Parameterwerte zu manipulieren / operative Daten zu verfälschen.
  • • Quellcodeprüfung durchgeführt, um die Sicherheitsstandards zu erreichen.

Geschäftlicher Nutzen

  • • Wir haben die OWASP-Top-10- und domänenbasierten Schwachstellen mithilfe von Sicherheitstests verhindert.
  • • Wir haben einen detaillierten Sicherheitsfehlerbericht bereitgestellt, um Fehlalarme zu vermeiden und Sicherheitsrisiken zu minimieren.
  • • Wir haben Lösungen empfohlen, um Cross-Scripting- und Forgery-Angriffe zu bekämpfen.