Web-Application-Testing: OWASP-Methodik
Web-Applikationen sind das häufigste Angriffsziel – fast jedes Unternehmen betreibt öffentliche Web-Services, und die Komplexität moderner Webanwendungen erzeugt zwangsläufig Angriffsflächen. Der OWASP Testing Guide ist der Industriestandard für systematisches Web-Application-Testing: Er definiert hunderte konkrete Testfälle, geordnet nach Kategorien.
Werkzeug der Wahl für Web-Application-Testing ist Burp Suite (von PortSwigger) – ein HTTP-Proxy-Tool, das alle Anfragen zwischen Browser und Server abfängt, modifiziert und erneut sendet. Burp Suite Community Edition ist kostenlos, Burp Suite Professional (mit automatischem Scanner) kostet ca. 450 USD/Jahr und ist der Industriestandard. Kali Linux enthält Burp Suite vorinstalliert.
1) Burp Suite als Proxy: Anfragen abfangen und modifizieren
Das Grundprinzip: Burp Suite konfiguriert sich als HTTP-Proxy zwischen Browser und Webserver. Jede Anfrage kann abgefangen, analysiert und modifiziert werden – bevor sie den Server erreicht. Das erlaubt manuelle Tests, die kein automatisierter Scanner findet.
2) Test-Kategorien nach OWASP
Der OWASP Testing Guide gliedert Tests in Kategorien. Jede Kategorie enthält konkrete Testfälle mit genauen Beschreibungen, Werkzeugen und erwarteten Ergebnissen. Die folgende Übersicht zeigt die wichtigsten Kategorien für die Praxis.
3) Systematischer Web-Test-Ablauf
Ein strukturierter Web-Application-Test folgt einem methodischen Ablauf. Die folgende Schritt-für-Schritt-Übersicht orientiert sich am OWASP Testing Guide und der PTES-Methodik.
Zusammenfassung
| Werkzeug | Einsatz |
|---|---|
| Burp Suite | HTTP-Proxy, Request-Interception, manuelles Testing, Intruder, Scanner |
| OWASP ZAP | Open-Source-Alternative zu Burp, automatischer Scanner |
| SQLMap | Automatisiertes SQL-Injection-Testing |
| gobuster/feroxbuster | Directory/File Brute-Forcing |
| Nikto | Web-Server-Scanner für bekannte Schwachstellen |
| wfuzz | Web-Application-Fuzzer für Parameter und Authentifizierung |