Wir haben den ersten externen Penetrationstest für unsere Hauptwebanwendung in Auftrag gegeben. Das Ergebnis: 3 kritische, 7 hohe, 12 mittlere und 20 niedrige Befunde. Es war ernüchternd, aber enorm wertvoll.
Kritische Befunde¶
SQL Injection in einem Legacy-Modul (manuell zusammengesetzter SQL-Query). Session Fixation — die Session-ID wurde nach dem Login nicht regeneriert. Path Traversal — ein Download-Endpoint ermöglichte den Zugriff auf beliebige Dateien auf dem Server. Alle drei wurden innerhalb von 48 Stunden behoben.
Hohe Befunde¶
XSS in drei Formularen. Fehlender CSRF-Schutz auf der Admin-Oberfläche. Schwache Passwort-Richtlinie (min. 6 Zeichen, keine Komplexitätsanforderungen). Informationspreisgabe auf Fehlerseiten (Stack Traces). HTTPS mit schwachen Cipher Suites.
Behebung¶
Ein Sprint für Security-Fixes. Code Review aller Datenbankabfragen (Suche nach String-Konkatenation). Output-Encoding-Audit. CSRF-Tokens. Aktualisierung der Passwort-Richtlinie. Benutzerdefinierte Fehlerseiten. SSL-Konfigurations-Hardening.
Lessons Learned¶
Security by Obscurity funktioniert nicht. Internes Code Review reicht nicht — eine externe Perspektive ist unersetzlich. Sicherheit ist kein einmaliges Ereignis — wir planen jährliche Nachtests. Jeder Entwickler hat ein OWASP-Training absolviert.
Empfehlung¶
Bestellen Sie einen Penetrationstest. Es wird schmerzhaft sein, aber Sie lernen mehr als aus jedem Training. Und beheben Sie die Befunde — ein Bericht ohne Maßnahmen ist wertlos.
Brauchen Sie Hilfe bei der Implementierung?
Unsere Experten helfen Ihnen bei Design, Implementierung und Betrieb. Von der Architektur bis zur Produktion.
Kontaktieren Sie uns