© 2013 Secorvo | Impressum | Kontakt | Anfahrt

Web Application Security

Geschäftsprozesse werden zunehmend über Webanwendungen abgewickelt. Deren Sicherheit, auch als "Web Application Security" bezeichnet, spielt für Unternehmen daher eine wachsende Rolle, und es werden immer häufiger auch unternehmenskritische Anwendungen ins World Wide Web verlagert. So bieten immer mehr Unternehmen Online-Dienstleistungen an oder verzahnen Geschäftsprozesse über Web-Schnittstellen miteinander.

Die Öffnung der eigenen Netze gegenüber Partnern und Kunden birgt jedoch neben Effizienzgewinnen zahlreiche Risiken. Das liegt nicht zuletzt daran, dass viele Web Applications Individualentwicklungen sind. Diese werden, anders als verbreitete Standard-Software, vor der Inbetriebnahme höchstens funktionalen, nicht aber speziellen Sicherheitstests unterzogen. Oft finden sich vermeidbare sicherheitsrelevante Risiken sowohl in der Konzeption als auch in Implementierung und Betrieb. Schwachstellen wie Cross-Site-Scripting (XSS), SQL-Injection oder Cross-Site-Request-Forgery sind inzwischen keine Randbedrohungen mehr, sondern Alltagsgefahren für Webanwendungen.

Unsere Leistungen

Secorvo unterstützt bei allen Phasen des Entwicklungszyklus einer Webanwendung – von der Planung über die Entwicklung und Einführung bis zum Betrieb. Dazu zählen im Einzelnen die folgenden Leistungen:

• Gefährdungs- und Anforderungsanalyse: Jede Webanwendung steht in einem spezifischen Kontext von Gefährdungen und Bedrohungen, aus denen für das jeweilige Einsatzszenario das Risikopotenzial einer Webanwendung ermittelt wird. Daraus werden geeignete Sicherheitsanforderungen abgeleitet.

• Entwurf von Web Applications: Viele Sicherheitsprobleme von Webanwendungen entstehen schon in der Entwurfsphase. Zur Erfüllung der sicherheitsrelevanten Anforderungen werden geeignete Schutzmaßnahmen ausgewählt, konzipiert und in den Entwurf von Web Applications eingebunden.

• Kodierung von Webanwendungen: Programmierfehler sind eine der häufigsten Ursachen für Sicherheitsprobleme von Webanwendungen. Zur Vermeidung dieser Fehler sind eine gute Kenntnis der möglichen Fehlerquellen, eine sorgfältige Kodierung und eine gewissenhafte Prüfung des Quelltextes (Code-Review) erforderlich. Wir coachen Ihre Entwickler bei der Programmierung sicherer Web-Applikationen.

• Sicherheitsanalyse von Web Applications: Wir testen die Sicherheit von Webanwendungen durch Black-Box- und White-Box-Analysen. Dabei kommen sowohl automatische Tools als auch manuelle Analyseverfahren zum Einsatz, zum Einstieg orientiert an der OWASP Top 10-Liste und der WASC Threat Classification. Unser detailliertes Vorgehen lehnt sich an den OWASP Application Security Verification Standard (ASVS) an.

• Konzeption des sicheren Betriebs von Web Applications: Durch eine Verzahnung mit dem Information Security Management im Unternehmen wird der Betrieb von Webanwendungen in die bestehenden Steuerungsprozesse der Informationssicherheit integriert.

• Ausbildung in sicherer Softwareentwicklung: Vertiefte Kenntnisse der sicheren Softwareentwicklung sind eine wichtige Voraussetzung für die Vermeidung von Sicherheitsproblemen in Webanwendungen. Dazu bieten wir die Ausbildung zum ISSECO Certified Professional for Secure Software Engineering (CPSSE).

Secorvo wirkt im German Chapter der OWASP (Open Web Application Security Project) mit und war an der Erstellung der deutschen OWASP Top 10-Liste beteiligt.

Ansprechpartner

Kai Jendrian

Kontakt
Tel. +49 721 255171-0

Unternehmen

Consulting

Seminare

Events

Videos

Referenzen

Auszeichnungen

Security News

Publikationen

Presse