Viele Unternehmen verwenden Webapplikationen um Geschäfte mit ihren Kunden abzuwickeln. Um die Sicherheit dabei zu erhöhen, werden Penetrationstests durchgeführt, welche eventuelle Schwachstellen aufdecken sollen.

Im Laufe des Praktikums wurden mehrere Penetrationstests bei Kunden durchgeführt. Hierbei konnte viel Wissen in diesem Bereich aufgebaut werden.

Bevor getestet wird, muss erst der Scope definiert und vom Kunden eine so genannte Permission to Attack unterschrieben werden, um die Tester rechtlich abzusichern. Die eigentliche Untersuchung gliedert sich dann in drei Phasen. In der ersten werden Informationen über die Systeme gesammelt. Im nächsten Schritt wird dann die Applikation näher untersucht. Werden Fehler darin gefunden, so wird für diese ein Proof of Concept erstellt, welches die Ausnutzbarkeit der Schwachstelle beweist. Nach Abschluss der Untersuchung werden die Resultate dann in der letzten Phase bewertet und in einem Bericht dem Kunden übergeben.

Nachdem der Kunde die Schwachstellen in der Applikation ausgebessert hat, werden die Korrekturen in einem Nachaudit auf ihre wirksamkeit getestet.