Web App Security Audit
Was ist ein Web App Security Audit?
Ein Web App Security Audit ist eine umfassende Sicherheitsüberprüfung von Webanwendungen, die das Ziel verfolgt, Schwachstellen zu identifizieren und das Risiko von Angriffen zu minimieren. Die Methodik orientiert sich meist an den OWASP Top 10 sowie anerkannten Prüfstandards und kombiniert automatisierte sowie manuelle Testverfahren.
Prüfmethoden und Inhalte
-
Automatisierte DAST-Scans: Tools wie OWASP ZAP, Burp Suite oder Netsparker zur dynamischen Analyse
-
Manuelle Tests: Prüfung auf Business-Logik-Fehler, Race Conditions, Zugriffskontrolllücken
-
Code-Review (optional): Bewertung der Quellcode-Qualität und sicherheitsrelevanter Abschnitte
-
Typische Testfelder:
– Input-Validierung und Injection (SQL, XSS)
– Session-Management und Authentifizierung
– Autorisierung und Zugriffskontrollen (z. B. IDOR)
– Header-Konfiguration (CSP, CORS)
– Einsatz und Prüfung von Third-Party-Komponenten (Software Composition Analysis)
Audits liefern risikobasierte Berichte mit CVSS-Bewertungen, reproduzierbaren PoCs und konkreten Handlungsempfehlungen.
Anwendung in der Praxis
Eine Online-Versicherungsplattform lässt vor einem größeren Release einen Web App Security Audit durchführen. Der Audit deckt u. a. eine Cross-Site-Scripting-Schwachstelle in einem Feedback-Formular, fehlerhafte CORS-Header und ungeschützte API-Endpunkte auf. Zusätzlich werden Third-Party-JavaScript-Bibliotheken mit bekannten CVEs identifiziert. Nach Umsetzung der Empfehlungen (CSP, Zugriffstoken, Bibliotheks-Update) werden die Findings als behoben verifiziert und ein Secure Deployment freigegeben.
Verwandte Begriffe
-
OWASP Top 10
-
Secure Software Development Lifecycle
-
DAST (Dynamic Application Security Testing)
-
SAST (Static Application Security Testing)
-
DevSecOps
-
API Security
-
Input-Validierung
-
XSS
-
Code Review
-
Software Composition Analysis