Sicherheitsüberprüfung einer Webanwendung nach OWASP, Mihael Mihnev

Mihael Mihnev

Kurzfassung

n den letzten Jahren hat sich der Trend gefestigt, klassische Desktopapplikationen durch webba-sierte Anwendungen zu ersetzen. Sie können unter anderem personenbezogene und sensible Da-ten verwalten, die bei einem erfolgreichen Cyberangriff ein großes Risiko darstellen. Die Sicherheit bei den Webanwendungen gewinnt somit immer mehr an Relevanz, einerseits weil häufig neue Schwachstellen entdeckt werden, andererseits weil die wachsende Komplexität der öffentlich zugänglichen IT-Landschaft potenziell Angreifern eine größere Angriffsfläche bietet.
Diese Ausarbeitung befasst sich mit der Entwicklung einer Methodik zur Sicherheitsüberprüfung von Webanwendungen anhand des Open-Source-Projekts OWASP. Ziel dieser Abschlussarbeit ist, eine anwendungsspezifische Lösung zur Sicherheitseinschätzung zu erstellen und gleichzeitig die Leserschaft mit dem OWASP-Projekt bekanntzumachen. Die vorgestellte Methodik verknüpft den OWASP Application Security Verification Standard mit den OWASP-Top-Ten-Webapplikations-Schwachstellen. Das Ergebnis dieser Arbeit ist eine Checkliste mit den kritischsten und für die Fallstudie relevantesten Sicherheitsanforderungen. Mit dieser Checkliste und einem daraus ableitbaren Penetrationstest ist die Sicherheit der Webanwendung conn4 Dashboard der Firma m3connect im Nachgang verifiziert worden. Während der Sicherheitseinschätzung wurden unter anderem drei mittelkritische und eine hochkritische Schwachstelle gefunden.

Schlagwörter: OWASP, Penetrationstest, Sicherheitsüberprüfung, Webanwendung

Abstract

In recent years, there has been a growing trend of replacing desktop applications with web-based apps. Among other things, they can manage personal and sensitive data, which pose a major risk in the event of a successful cyberattack. The security of web applications is therefore becoming increasingly relevant. This is not only due to the frequent discovery of new vulnerabilities, but also because the growing complexity of the publicly accessible IT landscape offers potential attackers a larger attack surface.
This paper focuses on the development of a methodology for the security assessment of web appli-cations based on the open-source project OWASP. The goal of this thesis is to develop an applica-tion-specific solution for security evaluation and at the same time to introduce the reader to the OWASP Project. The presented methodology combines the OWASP Application Security Verification Standard with the OWASP Top Ten Web application vulnerabilities. The result of this work is a checklist of the most critical security requirements relevant for this case study. With this checklist and a penetration test derived from it, the security of the web application conn4 Dashboard, developed by the company m3connect, was verified later on. During the security assessment three medium critical and one high critical vulnerability were found.

Keywords: OWASP, penetration test, security audit, web application