Spezial-Angebot »Datenschutz/IT-Sicherheit«
Internet-Check
„Hacker-Angriff-Simulation“
Ihrer Website
Ist Ihre Website gegen Hacker-Angriffe geschützt?
Prüfen Sie die Sicherheit Ihrer Internetseite durch eine simulierte Cyber-Attacke
Jeden Tag wird in den Medien von Cyber-Attacken, von gekaperten Internetseiten, von nicht erreichbaren Webseiten und von gestohlen Passwörtern und vielem anderen berichtet. Die aktuellen Beispiele zeigen wieder einmal, mit welchen ausgeklügelten Methoden Cyber-Kriminelle heutzutage vorgehen. Erfolgreiche Angriffe verursachen enorme Schäden – nicht nur finanziell, sondern sie gefährden auch die Reputation des Unternehmens.
Überprüfen Sie deshalb die Sicherheit Ihrer Internetseite mit einem realistischen, jedoch simulierten Hacker-Angriff.
Wir decken Ihre Sicherheitslücken auf
Unsere Experten setzen für die simulierte Cyber-Attacke gezielt unterschiedliche technische Methoden ein. Nach dem „Angriff“ erhalten Sie einen aussagekräftigen Testbericht, in dem ausführlich erklärt wird, wie die Schwachstellen durch Hacker ausgenutzt werden könnten. Mit dieser Simulation schaffen Sie sich die optimale Grundlage für das nächste Gespräch mit Ihrer Internetagentur oder Ihrer IT-Abteilung.
- Durchführung von simulierten Cyber-Attacken mit
400+ Angriffsszenarien - Identifikation der Schwachstellen in der gesamten Internet-Sicherheitsarchitektur
- Überprüfung notwendiger Sicherheits-Patches
- Ausführlicher, schriftlicher Report für Ihre Dienstleister
- Einschätzung der Sicherheitsstandards durch unsere Experten
- eine ausführliche Video-Online-Beratung zur Erläuterung
Jetzt den Internet-Check „Hacker-Angriff-Simulation“
für 398 € netto pro Domain anfragen
Angriffsbeispiele
Wir nutzen die OWASP Top Ten als wichtigste Grundlage der Überprüfung von Sicherheitsmerkmalen von Webseiten. Zum aktuellen Zeitpunkt haben wir 65 Angriffskategorien mit über 400 Angriffsszenarien zusammengestellt, die bei einer Hackerangriff-Simulation zum Einsatz kommen.
Nachfolgend tauchen wir beispielhaft in zwei Angriffskategorien ein, um Ihnen eine Vorstellung darüber zu geben, wie unsere Hackerangriff-Simulation die Fehleranfälligkeit von Webseiten überprüft.
Beispiel 1: (No)SQL Injections
Was ist eine (No)SQL Injection?
Die erfolgreiche Ausnutzung einer (No)SQL-Injection kann für ein Unternehmen verheerend sein und ist eine der am häufigsten ausgenutzten Schwachstellen von Webanwendungen.
Wie wird eine (No)SQL Injection durch den Sicherheits-Scan ausgeführt?
Was passiert zum Beispiel, wenn wir eine ungültige ID übergeben, indem wir ein Hochkomma (‘) an die URL anhängen? Wenn wir dann sehen, dass wir einen SQL Syntax Fehler ausgelöst haben, ist das ein Beweis dafür, dass unsere fehlerhafte Angabe ohne Validierung von der Webseite verarbeitet wird und wir mit dieser Methode beliebige SQL Anfragen ausführen könnten. Wir wollen selbstverständlich keinen Schaden anrichten, weshalb wir nach dem Beweis eines Sicherheitsfehlers von weiteren Datenverarbeitungen absehen – im Fall einer echten Attacke würde der Angreifer jetzt weitere SQL-Abfragen ausführen, um an die sensiblen Daten zu gelangen, die er haben möchte.
Beispiel 2: Cross-Site Scripting
Cross-Site Scripting (XSS) ermöglicht es Angreifern, Skripte in eine Anfrage einzufügen und den Server das Skript in der Antwort an den Client zurücksenden zu lassen. Dies geschieht, weil die Anwendung nicht vertrauenswürdige Daten (in diesem Beispiel vom Nutzer) entnimmt und sie wiederverwendet, ohne eine Validierung oder Bereinigung durchzuführen.
Wie wird Cross-Site Scripting durch die Hackerangriff-Simulation ausgeführt?
Auch in diesem Beispiel simuliert unsere Attacke einen Angreifer.
Unser Ziel als Angreifer ist es, dieses Formular so auszunutzen, dass wir beliebigen JavaScript Code auf der Webseite ausführen können. Dafür stellen wir uns vor, dass wir ein bösartiges Script unter der URL “https://beispiel.de/datendiebstahl.js” vorbereitet und gespeichert haben. Dieses Script versuchen wir nun in das Gästebuch zu injizieren, sodass das Script nach der Injection bei jedem Besucher ausgeführt wird.
Falls der Entwickler ebenfalls keine Validierung für das Eingabefeld der Gästebucheinträge vorgenommen hat, sollten wir in der Lage sein, beliebige HTML-Elemente (z.B. Script-Tags) übersenden zu können, die dann auf der Webseite im Gästebuch eingefügt werden.
Auf den ersten Blick sieht es nach dem Absenden des Formulars so aus, als wäre nichts passiert. Schauen wir uns jedoch den Code der Webseite an, stellen wir fest, dass unser Script erfolgreich in den Eintrag injiziert wurde und ab jetzt bei jedem Besucher des Gästebuchs ausgeführt wird.
Dadurch ist bewiesen, dass dieses Formular anfällig für Cross-Site Scripting ist.
Bericht/Dokumentation
Jeder Kunde erhält eine detaillierte Dokumentation nach der durchgeführten Hackerangriff-Simulation, sodass die Ergebnisse verständlich dokumentiert sind. Dies ist eine gute Gesprächsgrundlage mit der Internetagentur oder der IT-Abteilung unserer Kunden. „Eine externe Zweitmeinung ist immer wieder gut geeignet, das Thema Internet-Security neu anzuschauen. Sie ist damit eine gute Prophylaxe gegen die Betriebsblindheit, vor der keiner gefeit ist“, fasst Kent Schwirz von der Protekto zusammen.
Mehr Information und Direktkontakt
Infos herunterladen
040 360 234–100
info@protekto.de
