OWASP Top 10 Abdeckung
Jede Webanwendungsprüfung sollte die OWASP Top 10 abdecken: Broken Access Control (A01), Cryptographic Failures (A02), Injection (A03), Insecure Design (A04), Security Misconfiguration (A05), Vulnerable Components (A06), Authentication Failures (A07), Software and Data Integrity Failures (A08), Logging Failures (A09) und SSRF (A10). DAST-Tools wie Burp Suite und ZAP automatisieren die Erkennung der meisten OWASP Top 10 Kategorien.
Über die OWASP Top 10 hinaus
Die Top 10 sind das Fundament – die häufigsten Web-Schwachstellen, aber nicht die einzigen. Eine umfassende Bewertung sollte auch Folgendes untersuchen: spezifische Business-Logik-Fehler in den Workflows Ihrer Anwendung, API-spezifische Schwachstellen (BOLA, BFLA, Rate Limiting), Tiefe des Authentifizierungs- und Session-Managements, Sicherheit beim Hoch- und Herunterladen von Dateien sowie die Sicherheit der Integration von Drittanbietern. Diese Kategorien erfordern manuelle Tests – kein Scanner erkennt Business-Logik-Fehler zuverlässig.
DAST vs SAST für Web-Apps
DAST (Dynamic Application Security Testing) testet die laufende Anwendung von außen – so, wie es ein Angreifer tun würde. SAST (Static Application Security Testing) analysiert den Quellcode auf Muster, die auf Schwachstellen hinweisen. Beide finden unterschiedliche Arten von Problemen. DAST findet Laufzeitkonfigurations- und Deployment-Probleme. SAST findet Code-Level-Fehler früher im Lebenszyklus. Verwenden Sie beides für eine umfassende Abdeckung.
Web Application Assessment mit Penetrify
Die Webanwendungstests von Penetrify kombinieren DAST-Scanning zur Abdeckung der OWASP Top 10 mit manuellen Expertentests für Business-Logik-, Authentifizierungs- und API-spezifische Schwachstellen – also die Kategorien, die Scanner übersehen und die das höchste reale Risiko darstellen.
Das Fazit
Die Bewertung von Webanwendungsschwachstellen sollte die OWASP Top 10 durch automatisches Scanning sowie Business-Logik- und API-Tests durch manuelle Analyse abdecken. Penetrify liefert beides.