Penetrationstests von Drupal-Webseiten
Wir suchen in Ihrer Drupal-Anwendung nach kritischen Sicherheitslücken und schreiben einen Pentest-Bericht mit technischen Details sowie Lösungsvorschlägen.
Unsere Experten führen gründliche Penetrationstests durch, um potenzielle Sicherheitslücken in Ihrem Drupal-System aufzuspüren und zu beheben. Durch gezielte Analysen und realitätsnahe Angriffssimulationen verbessern wir die Widerstandsfähigkeit Ihrer Webseiten gegen Cyberbedrohungen.
Warum sich ein Drupal-Penetrationstest für Sie lohnt?
Drupal ist ein beliebtes modulares Content-Management-System, welches viele Unternehmen für diverse Zwecke einsetzen. Entsprechend lassen sich in der Datenbank einer Drupal-Anwendung interessante Daten finden. Gleiches gilt für auf Drupal basierte Lösungen, wie etwa "Drupal Commerce". In diesen Anwendungen wird ein Angreifer neben Personendaten (PII) auch Finanzdaten (Kreditkartendaten) finden. So etwas stellt ein attraktives Ziel für Angreifer dar.
Unser Tipp: Fragen Sie sich, was passiert, wenn Ihre Drupal-Anwendung gehackt wird und Daten entwendet werden?
Ist die Antwort eher unangenehm, dann sollten Sie sich ggf. bei uns melden. Wir haben weitreichende Erfahrung mit Drupal-Anwendungen - sowohl in der Entwicklung als auch im Bereich der Sicherheit. Ein Penetrationstest für Webanwendungen mit einem Schwerpunkt auf Drupal könnte eine gute Idee sein!
Was ist ein Drupal-Pentest?
Bei einem Drupal-Pentest handelt es sich um einen manuellen Penetrationstest, bei dem entweder der relevante Quellcode der Anwendung zeilenweise nach Sicherheitslücken von einem Menschen durchsucht wird (Drupal Whitebox-Pentest). Die Alternative ist ein Drupal Blackbox-Test - hier wird ohne Zugang zum Quellcode nach Sicherheitslücken gesucht. Das Ergebnis ist ein Bericht, der einen Management-Teil sowie einen technischen Teil hat - mit letzterem können Sicherheitslücken geschlossen werden.
Was ist ein Drupal Schwachstellenscan? Unterschied zum Drupal-Pentest.
Auf dem Markt findet man diverse Drupal-Scanner, mit denen man mehr schlecht als recht nach Schwachstellen und schlechten Einstellungen suchen kann. Hierbei wird eher eine Bestandsaufnahme gemacht. Dinge, die die meisten Drupal-Scanner prüfen, sind z.B.:
- Ist eine veraltete Drupal-Version installiert?
- Kann ein Angreifer die Loginnamen enumerieren?
- Sind veraltete Plugins/Themes installiert, die ggf. bekannte Sicherheitslücken haben?
- Kann sich jeder registrieren?
- Ist SSL korrekt implementiert?
- Ist der Webserver grundlegend korrekt eingestellt (Dirlisting, Dot-Files, ...)
Diese Informationen sind zwar interessant und wichtig, aber es handelt sich hierbei immer nur um eine oberflächliche Analyse. Ein Penetrationstest geht viel tiefer. Es werden Parameters überprüft, es wird nach diversen Sicherheitslücken gesucht (siehe OWASP TOP10).
"Drupal gewinnt zunehmend an Bedeutung. Wir sehen es immer häufiger innerhalb von Netzwerken."
Damian Strobel - Gründer von DSecured
Prüfen Sie, ob Ihre Drupal-App wirklich sicher ist. Wir helfen!
Relevantes zu Drupal-Pentests
Pentest: Dienstleistungen
Wie viel kostet ein Drupal-Penetrationstest?
Wie so oft: Es kommt darauf an. Drupal-Anwendungen können relativ groß werden. Große Agenturen sind in der Lage wahnsinnig komplexe Anwendungen zu bauen, die einen hohen Anteil an Custom-Programmierung aufweisen. Diese sollte im Rahmen eines Penetrationstests natürlich geprüft werden. Gleiches gilt für das Theme sowie die Infrastruktur bzw. deren Einstellungen. Es gibt viele Kosten-Faktorn: Zeitaufwand, Größe, Komplexität, Berichterstattung. Der Artikel "Pentest Kosten" klärt hier allgemein auf. Ein Drupal-Pentest geht ab 2.500 Euro los - nach oben hin gibt es keine Grenze. Vor einem Angebot unsererseits schauen wir uns an, wie Ihre Drupal-App aufgebaut ist und ob sich aus unserer Sicht wirklich ein Pentest lohnt.
Alternative: Drupal Hardening
Ist das Budget klein oder der Schutzbedarf nicht so hoch, ist es ggf. klug in Richtung Drupal Hardening zu schauen. Hierbei wird die Drupal-Installation so abgesichert. Zuerst wird ein normaler Schwachstellenscan durchgeführt, um Problemzonen zu identifizieren. Diese müssen dann - wenn es Sinn macht - korrigiert werden. Anschließend kann man sich überlegen, wie man das System gegen Angriffe abhärtet. Hierbei sind wir gerne behilflich. Diese Dienstleistung ist günstiger als ein Penetrationstest.
Drupal-Sicherheit: Welche Schwachstellen sehen wir häufig?
Im Bereich der Konfigurationsprobleme sehen wir sehr häufig eine ungünstige Kombination aus Dir-Listing und Zugangsmöglichkeiten zu dot-Files. Speziell bei etwas professionelleren Drupal-Agenturen, die auch das Hosting übernehmen, gelangen wir so im Laufe eines Drupal Blackbox-Pentests an den gesamten Quellcode. Damit wird der Blackbox-Test schnell zu einem Whitebox-Test. Hier ist es ehrlicherweise einfacher direkt den Whitebox-Ansatz zu wählen, sich den Serverinhalt via SSH/SFTP anzuschauen, um hier keine Zeit zu verschwenden.
Klassische Sicherheitslücken, wie Cross-Site-Scripting und SQL-Injection sieht man häufig in Modulen, die extra für die Drupal-Seite entwickelt wurden. Etwas seltener sind Deserialisierungsprobleme und RCE, da Code, der hierfür programmiert werden muss, eher selten in Drupal-Anwendungen vorkommt. IDORs sind auch eher selten, da Drupal-Anwendungen meistens hiervor recht gut schützen, wenn Best Practices eingehalten werden. Schlussendlich ist Drupal eine PHP-Software. Prinzipiell kann also alles vorkommen.
Häufig bei dieser Art von Anwendung, speziell wenn Agenturen verantwortlich sind (die intern an diverse Freelancer auslagern), sehen wir auch Probleme mit bekannten Passwörtern. Es lassen sich Nutzer/Logins enumerieren, deren Standardpasswort findet man in irgendeinem Dump und kann sich so als Freelancer (der oft Admin ist) einloggen. Auch alte Backups, die nicht gelöscht wurden, sind relativ häufig zu finden, wenn man kreativ ist. DSecured hat hierfür spezielle Scanner, die kontextbezogen nach so etwas suchen.
Einige Unternehmen, denen wir bisher helfen konnten
Drupal-Pentest anfragen