Ultimativer Härtest – Pentesting

Jetzt Kontakt aufnehmen!

Pentest, Analyse, Reporting: neusta software development bietet eine Reihe von Maßnahmen an, um die Empfindlichkeit Ihres SAP Commerce Systems auf die Probe zu stellen. Neben einer Storefront Analyse beinhaltet unser Service u.a. Security Checks, erweitertes Reporting oder Wissensvermittlung durch Entwicklerschulungen.

Schwachstellenanalyse

Wir überprüfen Ihre SAP Commerce Installation auf die zehn am weitesten verbreiteten (Web-)Schwachstellen. Anhand der vom Open Web Application Security Projet (OWASP) definierten Top 10 prüfen wir die Anwendung. Hierdurch werden typischerweise 80–90 Prozent aller Schwachstellen aufgedeckt. Dieses Testmodul wird hauptsächlich automatisiert ausgeführt und bildet ein absolutes Must-Have in einem Sicherheitsreview.

Injektion (Injection)

Problemfelder SQL, NoSQL, LDAP etc.

Fehlerhafte Authentifizierung (Broken Authentication)

Fehlerhafte Implementierung von Maßnahmen im Bereich der Authentifizierung und des Session-Handlings.

Verlust empfindlicher Daten (Sensitive Data Exposure)

Empfindliche Daten, insbesondere mit Bezug zu Finanztransaktionen und Persönliche Identifizierbare Informationen (Personally Identifiable Information (PII)) können in falsche Hände gelangen.

XML External Entities

Durch fehlerhafte und veraltete XML-Bibliotheken kann auf interne Ressourcen zugegriffen werden.

Fehlerhafte Zugriffskontrolle (Broken Access Control)

Einschränkungen der Berechtigungen für authentifizierte Benutzer werden häufig nicht korrekt umgesetzt und führen zu unerlaubten Zugriffen auf Daten und Ressourcen.

Fehlkonfigurationen (Security Misconfiguration)

Sicherheitsfehlkonfiguration ist ein häufig auftretendes Problem. Sie ist zumeist auf unsichere Standardkonfigurationen, unvollständige oder Ad-hoc-Konfigurationen, offenen Cloud-Speicher, falsch konfigurierte HTTP-Header und ausführliche Fehlermeldungen mit vertraulichen Informationen zurückzuführen.

Cross-Site Scripting (XSS)

Eine unzureichende Überprüfung von Benutzereingaben kann zum Totalverlust von Daten führen.

Unsichere Deserialisierung (Insecure Deseralization)

Hier besteht eine Bedrohung, dass Code auf dem Server ausgeführt wird.

Verwendung von Komponenten mit bekannten Schwachstellen

Immer mehr finden komplexe Frameworks Verwendung, bei denen nicht mehr sofort ersichtlich ist, ob sie eventuell angreifbare Sicherheitslücken enthalten. Es ist daher notwendig, dies zu überprüfen und zeitnah aktualisierte Versionen einzuspielen.

Unzureichendes Logging und Monitoring

Häufig werden das Logging und das Monitoring von Systemen vernachlässigt. Das erschwert es im Nachhinein sehr, einen erfolgten Angriff nachzuvollziehen.

Storefront Analyse

Ihr öffentlicher Geschäftsauftritt bedarf besonderer Sicherheit. Wir kümmern uns darum. Egal in welcher Technologie Ihr SAP Commerce Storefront implementiert ist, unser Team besitzt die notwendige Expertise, um die Sicherheit Ihres Internetauftrittes aus Sicht eines Angreifers bewerten zu können.

JavaServer Pages (JSP)

Die JSP Engine kompiliert Code-Servlets in ausführbare Klassen. Webserverprozesse führen die Servlets aus. Anfragen werden mit fertigen HTML-Seiten beantwortet – sogenanntes Server-Side-Rendering. Aus der Security-Perspektive besonders relevant sind in diesem Umfeld Injektions- und Man-In-The-Middle Attacken sowie Betrachtungen zu möglichen Datenleaks.

Spartacus / Headless

Fehlerhafte Implementierung von Maßnahmen im Bereich der Authentifizierung und des Session-Handlings.

Ablauf

In dieser Review-Komponente unterziehen wir Ihren Storefront manuellen Tests aus der Perspektive böswilliger Angreifer. Dabei untersuchen wir die öffentlich einsehbaren Shop-Komponenten sowie Kommunikationsabläufe auf mögliche Schwachstellen und Angriffsvektoren. Getestet wird unter anderem auf Injektionsschwachstellen, Integrität des Kommunikationsflusses, Offenlegung unerwünschter Informationen und Session-Management.

Infrastruktur und Architektur Analyse

Halten Ihre Infrastruktur und Systemarchitektur einer Sicherheitsanalyse stand? Wir beantworten Ihnen diese Frage und zeigen Optimierungspotenziale auf.

On-Premises

Klassisches Hosting im eigenen oder gemieteten Rechenzentrum stellt besondere Anforderungen an Ihre Betriebsprozesse und die Systemarchitektur. Sie selbst sind verantwortlich, die Kommunikation zwischen Internet, Applikationsservern und Datenbanken sicher und performant zu gestalten. Besonders wichtige Aspekte sind Systempflege (Patching), Konfigurationsmanagement und die Gestaltung der Systemkommunikation hinsichtlich Firewalling, Routing und Loadbalancing, um Angreifern den Zugang zu Ihren Unternehmens-Assets zu verwehren.

Cloud

Haben Sie sich für den Einsatz der SAP Commerce Cloud entschieden, so geben sie viele Entscheidungen in gute Hände. Auch hier kommt es jedoch auf die korrekte Konfiguration an. Backoffice Schnittstellen, Authentifizierung und Autorisierung, Benutzermanagement müssen während der Implementierung und des Deployments besonders geschützt werden.

Ablauf

Gemeinsam mit Ihren Experten prüfen wir Ihre Systemarchitektur hinsichtlich Sicherheitsempfehlungen von SAP selbst sowie etablierten Institutionen wie NIST, OWASP und dem BSI. Der Scope wird im Vorfeld mit Ihnen abgestimmt und kann von einem Review auf Basis Ihrer Dokumentation bis zur Prüfung des IST-Zustandes der Systeme reichen.

Security-Checks in der Deployment-Pipeline

Durch die Integration automatisierter Tests verstetigt sich Sicherheit Ihrer Anwendungen. Mit wenigen, gezielten Änderungen im Bereich des Deployments und der Continuous Integration (Pipeline) lassen sich viele potenzielle Schwachstellen bereits vor der Inbetriebnahme eines Systems ausschließen. Continuous Integration bezeichnet die Automatisierung sämtlicher Build-, Test- und Deployment-Schritte.

Automatische statische Codeanalyse

Verwendung von SAST-Tools (Static Application Security Testing) und die Berücksichtigung des MISRA-Standards.

Dependency Checks

Das Einbinden von Tools wie dem vom OWASP zur Verfügung gestellten Depency Check, den es für unterschiedlich Plattformen und Programmiersprachen gibt.

Ablauf

Das Einbinden von Tools wie dem vom OWASP zur Verfügung gestellten Depency Check, den es für unterschiedlich Plattformen und Programmiersprachen gibt.

Erweitertes Reporting

Alle in den Tests identifizierten Maßnahmen werden Ihnen in einem standardisierten Format zur Verfügung gestellt. Hierbei handelt es sich um ein Dokument mit kurzen Problembeschreibungen und Einstufung der Kritikalität, auf dessen Basis Ihr Compliance Team die Maßnahmen bei sich erfassen und tracken kann. Als zusätzliche Leistungen bieten wir an, ausführlichere Reports für unterschiedliche Zielgruppen zu erstellen.

Analysten-Report

Die technischen Hintergründe der gefundenen Schwachstellen werden detailliert erläutert. Die Beschreibungen enthalten Handlungsempfehlungen sowie Positiv- und Negativbeispiele möglicher Lösungsansätze.

Vorstands-Report

Dieses Berichtsformat bewertet die Feststellungen hinsichtlich Business-Impact und möglichem Schaden bei Eintritt und gibt strategische Handlungsempfehlungen.

Wissensvermittlung durch Entwicklerschulungen

Wir verfügen über jahrelange Erfahrung in der Schulung von Entwicklungsteams im Bereich der Sicherheit. Darin gehen wir unter anderem auf die am meisten verbreiteten Sicherheitslücken ein, demonstrieren an praktischen Beispielen die Schwachstellen bei Web-Applikationen, führen mit dem Team Live-Hacking-Sessions durch und zeigen auf, wie durch Techniken wie Threat Modeling diese Ansätze in die tägliche Entwicklungsarbeit einfließen können und die Qualität der entwickelten System hinsichtlich der Informationssicherheit wesentlich verbessert wird.

API Security

Anhand von Fallbeispielen werden die wichtigsten Schwachstellen in REST-APIs demonstriert und Gegenmaßnahmen aufgezeigt.

Zielgruppe: IT-Architekten, Frontend- und Backend-Entwickler

Secure Coding

Dieses Modul zeigt anhand eines Demonstrators, wie sicherheitsrelevante Schwachstellen bereits in der Entwicklungsphase im Code entdeckt und abgestellt werden können.

Zielgruppe: QA Analysten, Entwickler

Security im agilen Entwicklungsprozess

Anhand eines wissenschaftlich evaluierten Vorgehensmodells wird gezeigt, wie Security in einen SCRUM-basierten Entwicklungsprozess integriert werden kann.

Zielgruppe: Product-Owner, Scrum-Master, IT-Architekten, Entwickler

Threat Modeling

Dieses Modul vermittelt Entwicklungsteams, wie auf strukturierte Weise Bedrohungsanalysen der eigenen Entwicklungsvorhaben durchgeführt und Maßnahmen entwickelt werden können.

Zielgruppe: Product-Owner, IT-Architekten, Entwickler

Web Application Security

Die wichtigsten Punkte der OWASP-Top-10-Schwachstellen werden anhand einer Demo-Anwendung vorgeführt und Gegenmaßnahmen aufgezeigt.

Zielgruppe: Entwickler

Statische Code-Analyse, Dependency Checks und andere Tools

Dieses Modul stellt die gängigen Werkzeuge und ihre Benutzung vor, mit denen manuell und automatisiert in der Continuous Integration und im Deployment Schwachstellen im Code und in den Paketabhängigkeiten aufgedeckt werden können.

Zielgruppe: Entwickler und Systemintegratoren (DevOps)

Live Hacking

In diesem Modul wird das Ausnutzen verschiedener Angriffsmöglichkeiten auf eine konkrete, verwundbare Anwendung durchgespielt. Es zeigt Bedrohungsszenarien an Beispielen auf, bietet die Gelegenheit, das Vorgehen von Hackern nachzuvollziehen und daraus Gegenmaßnahmen abzuleiten.

Zielgruppe: Entwickler, Projektverantwortliche und letztlich jeder, der sich für das Thema Security interessiert

Unsere Vorgehensweise

In Absprache mit dem Kunden führen wir Tests stets in minimalinvasivem Vorgehen durch. Dabei berücksichtigen wir alle Corporate Guidelines. Im Anschluss erstellen wir einen umfassenden Bericht, in dem wir alle Aspekte eingehend beleuchten. Wir bieten eine hohe Flexibilität hinsichtlich der Wünsche unserer Kunden und sehen die stetige Kommunikation und den Austausch.

Sie wollen die Sicherheit Ihres System testen?
Wir unterstützen und beraten Sie gern rund um das Thema Penetrationstest!

Füllen Sie einfach das Formular aus und wir melden uns schnellstmöglich bei Ihnen.

Ich bin damit einverstanden, dass mich die team neusta GmbH oder eine ihrer Tochergesellschaften zu Informationszwecken hinsichtlich ihrer Lösungen, Services und Veranstaltungen per E-Mail und telefonisch kontaktiert. Meine Einwilligung kann ich jederzeit kostenfrei und mit Wirkung für die Zukunft widerrufen. Weitere Informationen über die Verarbeitung Ihrer Daten finden Sie hier.

Wir sind neusta software development

Die 1992 gegründete neusta GmbH aus Bremen steht für kundenorientierte Lösungen im Bereich der Software- und Webentwicklung. Als Markenname deshalb seit 2011 als „neusta software development“ agierend, hat sich die Firma zum Ziel gesetzt, alle Bedürfnisse des Kunden in den Fokus zu stellen und diesen Ansatz konsequent in jedem Projekt zu verfolgen um flexibel und kurzfristig auf Kundenanfragen und -wünsche zu reagieren.

Konsul-Smidt-Straße 24
28217 Bremen

+49 421 20696 – 0

Wir sind neusta software development

Die 1992 gegründete neusta GmbH aus Bremen steht für kundenorientierte Lösungen im Bereich der Software- und Webentwicklung. Als Markenname deshalb seit 2011 als „neusta software development“ agierend, hat sich die Firma zum Ziel gesetzt, alle Bedürfnisse des Kunden in den Fokus zu stellen und diesen Ansatz konsequent in jedem Projekt zu verfolgen um flexibel und kurzfristig auf Kundenanfragen und -wünsche zu reagieren.

neusta software development GmbH

Konsul-Smidt-Straße 24
28217 Bremen

+49 421 20696 – 0