JOBS
WIR BIETEN 
CHANCEN!
Security Testing

OWASP ASVS Assessment

Penetrationstests nach dem OWASP Application Security Verification Standard (ASVS) sind umfassender und folgen strengeren Vorgaben.

Während unserem Standard Web Application Penetrationstest eine an den Schutzbedarf der Anwendung angepasste Maximierung des Kosten-Nutzen Verhältnisses zugrundeliegt, folgt das ASVS Assessment den von der OWASP standardisierten Vorgaben. Bei Mobile Apps kommt entsprechend der Mobile Application Security Verification Standard (MASVS) zum Einsatz. Ein ASVS Assessment ist in aller Regel signifikant aufwändiger als ein normaler Penetrationstest und enthält auch Prüfpunkte, welche die Zuarbeit des Auftraggebers erfordern.
Eignung
+

Der ASVS formuliert eine ausführliche Liste an Anforderungen, die bei Entwicklung und Betrieb sicherer Software beachtet werden sollten. Er eignet sich besonders als Leitfaden während der Entwicklung, um im Rahmen eines Secure Software Development Lifecycle Sicherheitsanforderungen möglichst frühzeitig zu definieren und umfassend in den Prozess zu integrieren. Aber auch zur Bewertung und Verifizierung der Sicherheit einer fertigen Anwendung bietet sich eine Analyse nach den Vorgaben des ASVS an.

Betrachtete Aspekte
+

Der ASVS behandelt sowohl sehr technische Aspekte (z.B. „Stellen Sie sicher, dass Ihr Code konzeptionell sicher gegen SQL-Injection-Angriffe ist.“), als auch konzeptionelle Punkte (u.a. „Landen sensible Daten in Logs? Wo werden Logs abgelegt? Wer hat darauf Zugriff?“). Eine Analyse nach ASVS umfasst somit fast immer Themen, die nicht allein durch Blackbox-Tests abgedeckt werden können. Für diese Aspekte werden Maßnahmen wie Sourcecodeanalysen, Konfigurationsreviews und Audits eingesetzt.

Drei Level
+

Je nach Schutzbedarf der Anwendung teilt die OWASP Anforderungen in die Level 1 bis 3 auf:

  • Die Anforderungen des Level 1 richten sich an Anwendungen mit geringem Schutzbedarf und können in Form eines Penetrationstests geprüft werden.
  • Level 2 umfasst Anwendungen, die teils schützenswerte Daten verwalten. Die meisten Anwendungen im betrieblichen Umfeld fallen unter diese Kategorie. Große Teile des Level 2 stellen dabei konzeptionelle Fragen, die in Form eines Audits beantwortet werden müssen.
  • Level 3 schließlich formuliert Anforderungen für Anwendungen mit besonderem Schutzbedarf, z.B. solche, die medizinische Daten verwalten.
Ergebnisreport
+

Je nach Schutzbedarf der Anwendung teilt die OWASP Anforderungen in die Level 1 bis 3 auf:

  • Die Anforderungen des Level 1 richten sich an Anwendungen mit geringem Schutzbedarf und können in Form eines Penetrationstests geprüft werden.
  • Level 2 umfasst Anwendungen, die teils schützenswerte Daten verwalten. Die meisten Anwendungen im betrieblichen Umfeld fallen unter diese Kategorie. Große Teile des Level 2 stellen dabei konzeptionelle Fragen, die in Form eines Audits beantwortet werden müssen.
  • Level 3 schließlich formuliert Anforderungen für Anwendungen mit besonderem Schutzbedarf, z.B. solche, die medizinische Daten verwalten.

Wir unterstützen Sie:

Beratung hinsichtlich der Auswahl des geeigneten Levels unter Berücksichtigung von Schutzbedarf, Complianceanforderungen und Kostengesichtspunkten.
  • Überprüfung Ihrer Webanwendung nach OWASP ASVS oder Ihrer mobilen App nach MASVS mit Hilfe von Penetrationstests, Sourcecodeanalysen, Konfigurationsreviews und Audits
  • Übersichtliche und einfache Dokumentation der Ergebnisse mit Maßnahmenvorschlägen.
  • Im Nachgang, bei der Umsetzung von Maßnahmen

Ihr Ansprechpartner:

Nehmen Sie Kontakt per Email auf oder rufen Sie uns an:

Björn Kirschner
Tel.: 089 - 358 680 880
E-MAIL

Mehr Infos:

Siehe auch:

Statische Codeanalyse kann eine Ergänzung oder Alternative zum Penetrationstest sein:

Weitere Informationen:

Für mehr Informationen über den OWASP ASVS, besuchen Sie die offizielle Seite.

Die große Application Security Penetration Test FAQ für Auftraggeber gibt Antworten auf viele wichtige Fragen rund um die Beauftragung von Penetrationstests.
KARRIERE

Du bist Experte in diesem Thema?

Dann könnte unser tolles Team vielleicht zur neuen Heimat für dich werden.
MEHR
Du bist noch Einsteiger? Dann schau auch hier:
MEHR