Penetrationstest von GWT-basierten Webanwendungen
Im Rahmen mehrerer Projekte haben wir Webanwendungen geprüft, die auf dem Google Web Toolkit (GWT) basieren. Diese Technologie wird häufig in Verwaltungs- und Fachanwendungen eingesetzt und zeichnet sich durch eine komplexe, stark serialisierte Kommunikation zwischen Browser und Server aus. Klassische automatisierte Testansätze, etwa über die Burp Suite, lassen sich nur eingeschränkt anwenden, da die Kommunikation proprietär oder teilweise zusätzlich verschlüsselt erfolgt.
Die Analyse erfordert daher ein tiefes Verständnis der zugrunde liegenden Architektur. Ein großer Teil der Arbeit besteht aus manuellen Tests, um Datenstrukturen und Protokolle zu verstehen und daraus mögliche Angriffsvektoren abzuleiten. Während auch bei gewöhnlichen Webanwendungen manuelle Prüfungen erforderlich sind, lassen sich diese dort in der Regel durch automatisierte Tools stark unterstützen. Bei GWT-Anwendungen ist das – insbesondere bei verschlüsselter Client-Server-Kommunikation – kaum möglich. Am Ende bleibt die Analyse weitgehend Handarbeit. Oder wie ein Pentester aus unserem Team es treffend formulierte: „Man muss halt denken.“
Sprechen Sie
jetzt mit unseren
Pentest Experten.
Kontaktieren Sie uns

OSCP, M.Sc. Security Management
Sprechen Sie jetzt mit unseren Pentest Experten.

OSCP, M.Sc. Security Management
Penetrationstest
Seit 2013 führen wir professionelle Penetrationstests durch, basierend auf internationalen Industriestandards und jahrelanger Erfahrung in Penetrationstests, Red Teaming und Hacking.
Als professioneller Anbieter für Penetrationstest machen wir einiges anders als andere Firmen: Als Dienstleister für Penetration Testing verkaufen wir automatisierte Schwachstellenscans nicht als Pentest. Wir betrachten auch geschäftliche Sicherheitsrisiken. Sie suchen ein Unternehmen für einen professionell durchgeführten Penetrationstest? Nehmen Sie das Team der binsec für Ihren Pentest. Erfahren Sie mehr über unsere Pentest Dienstleistung.
Kontaktieren Sie uns