Damian Strobel
Gründer und CEO
"DSecured betreibt selbst zwei SaaS-Plattformen - wir wissen aus Erfahrung, wie interessant so etwas Hacker und Konkurrenz ist."
Was ist ein SaaS Penetrationstest?
Meist ist ein SaaS Pentest eine Kombination aus regulärem Webanwendungs-Pentest und einem API-Pentest. SaaS (kurz für Software as a service) sind oft relativ komplexe Plattformen, nicht selten mit mehr als 3 Nutzergruppen, Multi Tenancy und einer Fülle komplexer Funktionen. Die erhöhte Softwarekomplexität sorgt oft dafür, dass sich Sicherheitslücken einschleichen. Ein weiterer Grund hierfür ist außerdem, dass an dieser Art von Projekten, ganze Entwickler Teams arbeiten. Ein SaaS Pentest ist darauf ausgelegt die Plattform ausgiebig zu testen. Hierbei werden alle Nutzerrollen und Tenants einzeln getestet. Auch die Kommunikation zwischen den einzelnen Komponenten wird auf Herz und Niere geprüft.
Eine weitere Herausforderung für Betreiber von SaaS-Anwendungen ist das Thema Compliance. Ein Penetrationstest hilft die Anforderungen an beispielsweise ISO 27001 oder SOC2 sowie branchenspezifische Standards zu erfüllen.
SaaS Pentest: Reale Angriffsszenarien
Bei unseren SaaS Penetrationstests achten wir darauf möglichst nahe an echten Angriffsszenarien zu sein. Wir versetzen uns in die Rolle eines Hackers, der entsprechende Zugänge erlangen kann und versuchen primär von dort aus unsere Rechte zu erweitern, auf Daten anderer Nutzer und Tenants zuzugreifen und/oder den Server zu übernehmen und anschließend das als Ausgangspunkt für Angriffe auf das interne Netzwerk zu nutzen.
SaaS Pentest: Sind automatische Pentests sinnvoll?
Automatische Methoden sind eigentlich immer Teil von Penetrationstests. Klar ist aber ein richtiger Penetrationstest ist immer ein manueller Test - durchgeführt von einem Pentest-Anbieter mit Erfahrung. Speziell bei SaaS Plattformen sorgt die Komplexität dieser Plattformen dafür, dass automatische Tools sehr schnell nicht mehr klarkommen. Sie sind außerdem nicht in der Lage innerhalb der Komplexität klare sicherheitsrelevante Zusammenhänge zu erkennen. Auch das automatisierte Testen von Authentifizierung und Autorisierung ist oft nicht möglich. Ein automatischer Test kann also nur eine Ergänzung sein, niemals ein Ersatz für einen manuellen Test.
Wollen Sie wissen, ob Ihre SaaS-Plattform wirklich sicher ist?
Interessantes zu SaaS-Penetrationstests
Pentest: Dienstleistungen
Wie viel kostet ein SaaS-Penetrationstest?
Bei SaaS-Plattformen handelt es sich oft um sehr komplexe Softwareprodukte. Die Kosten für einen variieren ganz stark und u.a. von folgenden Punkten abhängig:
- - Anzahl der Nutzerrollen
- - Komplexität der Plattform
- - Anzahl der Tenants
- - Anzahl und Art der Schnittstellen
Ein SaaS-Penetrationstest ist daher oft teurer als ein normaler Penetrationstest.
Es ist durchaus realistisch mit Kosten ab 7.500 Euro zu rechnen. Die Kosten können aber auch schnell in den Bereich 20.000 Euro und mehr gehen.
Einen deutlich besseren Wert für die Kosten können wir gerne im Rahmen einer kostenlosen
Erstberatung nennen.
Kontaktieren Sie uns noch heute, um Ihre SaaS-Plattform zu schützen!
Fokusbereiche beim SaaS Penetrationstest
Aus Tester-Perspektive ist es wichtig erst einmal die SaaS Plattform zu verstehen. Das beginnt oft mit der offiziellen Dokumentation der API. Wir studieren alle Dokumente bevor wir uns an den eigentlichen Test machen. Für einen effizienten SaaS Pentest ist es wichtig zu verstehen, wie viele Nutzergruppen es gibt und wie sich diese unterscheiden. Das gleiche findet oft auf Tenant- und/oder Admin-Level statt. Wir versuchen herauszufinden - Fall eines Blackbox SaaS-Pentest - wie die Architektur hinter dem System ist und ob es theoretisch möglich ist aus einem normalen Nutzer einen Administrator eines anderen Tenants zu machen.
Anschließend wird strukturiert nach klassischen Sicherheitslücken (u.a. Owasp Top 10) gesucht - dies passiert manuell sowie automatisiert aus Perspektive eines Gastes sowie jeder verfügbaren Nutzergruppe. Sicherheitslücken und Schwachstellen werden dokumentiert und bewertet. In der Regel versuchen wir nicht so kritische Sicherheitslücken so zu kombinieren, dass wir schweren Impact nachweisen können. Beispiele hierfür sind z.B. XSS, Open Redirects und CSRF-Probleme.
Die meisten SaaS-Plattformen, die wir zu sehen bekommen, werden auf Basis von Laravel, Django oder .Net gebaut - das haben wir im Hinterkopf und prüfen Framework/Sprachspezifische Probleme ebenfalls.
Einige Unternehmen, denen wir bisher helfen konnten
Weitere Fragen samt Antworten zum Thema
"SaaS Penetrationstest"
Welche Probleme findet man während eines SaaS Pentests?
Im Allgemeinen sieht man alle Sicherheitslücken, die bei einem Web-Pentests vorkommen - maßgeblich ist hier eher, welches bzw. ob ein Framework verwendet wurde. SQL Injections und Code Injections sind recht selten, kommen aber immer wieder vor. Viel häufiger gibt es Probleme mit Nutzerrechten und IDORs.
Welche Möglichkeit gibt es, zu verhindern, dass unsere Prod-Umgebung nicht beeinträchtigt wird?
Ganz einfach: Das gesamte System wird auf einem Test-Server gespiegelt. Dort kann es ohne Gefahr ausgiebig getestet werden. Noch besser: Es werden Demo-Daten verwendet, so hat der Tester kein Zugang zu echten sensiblen Daten.
Wir wollen nur eine bestimmte Komponente unsere SaaS testen - geht das?
Natürlich. So etwas kann man während des Scoping besprechen.
Wie lange dauert in der Regel ein vollständiger SaaS Penetrationstest?
SaaS können sehr klein aber auch wahnsinnig groß und komplex sein. Entsprechend kann ein Test 3-4 Tage dauern - oder auch mal 2-3 Wochen. Das hängt von der Größe und Komplexität ab.
SaaS Pentest anfragen