Page tree
Skip to end of metadata
Go to start of metadata

Dieser User Guide erklärt, wie Sie die Crashtest Security Suite einrichten, dass Sie mit automatisierten Penetrationstests beginnen können.

  1. Einführung
  2. Der erste Login
  3. Ein Projekt erstellen
    1. Angeben einer Swagger-Datei
    2. Verifizierung des Projektes
  4. Einen Scan starten
  5. Interpretation der Scanergebnisse
  6. Kontinuierliche Sicherheitstests einrichten


1. Einführung

Crashtest Security wurde 2017 in München gegründet und hat sich als führender Dienstleister für automatisierte Penetrationstests für Webanwendungen und APIs in der DACH-Region etabliert.


2. Der erste Login


Um die Crashtest Security Suite zu nutzen, melden Sie sich mit Ihren Benutzerdaten unter https://www.crashtest.cloud an.

Sie werden dort ein leeres Dashboard sehen.

Klicken Sie auf den Plus Button, um Ihr erstes Projekt zu erstellen.


3. Ein Projekt erstellen

Unser Anmeldeprozess ist auf eine schnelle Einrichtung ausgelegt, um es Ihnen zu ermöglichen, Ihren ersten Scan innerhalb von 2 Minuten durchzuführen.


Starten wir nun mit dem ersten Projekt:

Schritt 1: Projekttyp (Project type)

Zunächst können Sie die Art des Projekts definieren, das gescannt werden soll.

Sie können wählen zwischen:

  • Multi Page Application
    Eine traditionelle Anwendung, die mit einer serverseitigen Programmiersprache geschrieben wurde.
  • Application Programming Interface (API)
    Eine REST-API. Für diese Art von Projekt benötigen Sie eine Swagger 2.0-Datei, die die API für das korrekte Scannen beschreibt.

Wenn es sich bei der zu scannenden Anwendung um eine Single-Page-Anwendung handelt, wählen Sie bitte API als Projekttyp und scannen Sie die API direkt. Wenn Sie Hilfe bei der Einrichtung benötigen, können Sie sich jederzeit an unseren Support wenden, um eine spezifische Beratung zu Ihrer Situation zu erhalten.



Step 2: Projektdetails (Project details)

Zweitens definieren Sie die grundlegenden Informationen zu Ihrem Projekt:

  • Title
    Der Name des Projekts, der im Dashboard und PDF-Bericht angezeigt wird.
  • Description
    Optionaler Text zur besseren Identifizierung Ihres Projekts.
  • Protocol
    Das Protokoll, das zum Scannen Ihres Projekts verwendet wird (z.B. "http" / "https").
  • URL
    Der Domain-Name oder die IP-Adresse des Projekts. Die Sicherheitsscanner führen alle Tests auf dieser URL durch.

Wenn Sie ein Projekt für das API-Scannen einrichten, müssen Sie im nächsten Schritt den Speicherort Ihrer Swagger-Datei angeben.


Step 3: Projektumgebung (Project environment)

Als nächstes definieren Sie die Umgebung, in der unsere Scanner arbeiten sollen.

  • "Live/Production-Umgebung
    Diese Einstellung stellt sicher, dass nur nicht-invasive Scanner ausgeführt werden. Hier können Sie Ihre Produktiv Webseiten testen. 
  • "Testing" - Environment
    Diese Wahl aktiviert alle Sicherheitsscanner und sollte nur auf leicht reproduzierbaren Staging-Systemen ohne Kundendaten durchgeführt werden.
    Bitte beachten Sie dass unsere Scanner zu testende System beeinträchtigen können. Diese kann (sind aber nicht beschränkt auf) Folgendes beinhalten:
    • Senden von beliebigen Formularanfragen, die Datenbanken mit zufälligen Daten belasten können
    • Workload Peaks, die die Benutzerfreundlichkeit für andere Nutzer beeinträchtigen können, wenn mehrere Anfragen gleichzeitig ausgeführt werden (dies können Sie über die Einstellung "Throtteling" anpassen).
    • Veröffentlichung von Produktionsdaten (die möglicherweise vertrauliche Kundendaten enthalten) durch die Änderung von SQL-Datenbankanforderungen.

Eine vollständige Liste aller Sicherheitsscanner und eine Übersicht, unter welcher Einstellung sie verwendet werden, finden Sie in der vollständigen Liste der Scanner.




Nach der Erstellung des Projekts erscheint dieses in der Projektliste auf Ihrem Dashboard.


3a. Angeben einer Swagger-Datei

Dieser Abschnitt gilt für Sie nur, wenn Sie eine API scannen möchten.


Bitte geben Sie den Speicherort an, an dem Ihre Swagger 2.0 /YAML gespeichert ist.

Die Datei benötig folgende Anforderungen:

Eine Beispieldatei können Sie hier herunterladen.

Wenn Sie keine Swagger 2.0-Datei haben, kontaktieren Sie uns bitte und wir helfen Ihnen gerne weiter.


3b. Verifizierung des Projekts

Dieser Abschnitt gilt für Sie nur, falls Sie Ihre Testumgebung scannen möchten.

Bevor Sie den Scanner starten, müssen Sie zunächst verifizieren, dass die Anwendung Ihnen gehört - dies erledigen Sie durch das Hochladen einer Textdatei in das Stammverzeichnis der URL.

Sie werden das Schloss-Symbol sehen, wenn Sie das Projekt verifizieren müssen. Andernfalls sehen Sie die Schaltfläche - Start Scan unten im Bild.

Dies ist notwendig, um zu bestätigen, dass Sie Zugriffsrechte auf die Domain haben und gesetzlich berechtigt sind, Pentests durchzuführen.




Um ein Projekt zu verifizieren, müssen Sie eine.html-Datei erstellen, die einen sicheren Hash enthält. Die Datei muss nach dem Dateinamen benannt werden, der in Ihrer Projektverifizierung angezeigt wird (siehe Screenshot rechts). Laden Sie die Datei so hoch, dass sie im Stammverzeichnis der URL liegt, die Sie beim Erstellen des Projekts angegeben haben. Ihr spezifischer Pfad wird in Ihren Projekteinstellungen angezeigt.

Nachdem Sie diese Datei hochgeladen haben, können Sie die Überprüfung einleiten. Danach ist Ihr Projekt bereit zum Scannen.


Wenn Ihr Projekt durch HTTP Basic Authentication (htaccess Schutz) geschützt ist, müssen Sie den Benutzernamen und das Passwort in den Projekteinstellungen konfigurieren, bevor Sie das Projekt verifizieren.





4. Einen Scan starten

Jetzt sind Sie bereit, Ihren ersten Scan zu starten. Klicken Sie dafür einfach auf "Start".

Alternativ können Sie auch die Projektseite öffnen und dort "Start Scan" klicken.


5. Interpretation der Scanergebnisse

Unsere Software bietet drei Ansichten, um Ihnen die wichtigsten Informationen zu Ihren Projekten zu liefern.

Home

Das Dashboard ist die erste Seite die Sie nach dem Log-in sehen.

Oben zeigt der Bildschirm die Anzahl der Ergebnisse gruppiert nach Kritikalität (Common Vulnerability Scoring System (CVSS)  für alle Ihre Projekte.

Nachfolgend sehen Sie eine Liste Ihrer Projekte, einschließlich der Art des Scans sowie der letzten Scanzeit.

Der Punkt auf der linken Seite der Zeile zeigt den aktuellen Status des Scans an. Wenn Sie mit der Maus über den Punkt fahren, sehen Sie den aktuellen Status.

Wenn Sie weitere Projekte hinzufügen möchten, klicken Sie einfach auf die gelbe "+"-Schaltfläche unten rechts in der Projektliste.

Am unteren Rand der Seite sehen Sie die Details des letzten Scans. So haben Sie direkten Zugriff auf die aktuellen Schwachstellen zur schnellen Behebung. Die Ergebnisse sind nach Kritikalität geordnet, wobei das kritischste Finding ganz oben steht.

Weitere Details zu jedem Projekt sehen Sie, wenn Sie auf eine der Projektzeilen klicken.



Project Overview

Unsere Software gibt Ihnen einen Überblick über vergangenen Scans jedes Projekts - und idealerweise über die verbesserte Sicherheit (d.h. weniger Schwachstellen) - im Laufe der Zeit.

Oben sehen Sie eine visuelle Darstellung der vergangenen Scans, sowie die Befunde pro Scan. Sie können auf den Balken klicken, um zur jeweiligen Scan-Ansicht zu gelangen.

Oben rechts sehen Sie die Schaltflächen für die allgemeinen Aktionen und Einstellungen

  • "Start Scan": Startet einen Scan manuell
  • "Preferences": Lässt Sie die Projekteinstellungen ändern
    Diese sind unter "Kontinuierliche Sicherheitstests einrichten" beschrieben.
  • "Delete": Dies wird das Projekt löschen.
    Achtung: Dadurch wird auch der Scanverlauf gelöscht. Stellen Sie sicher, dass Sie alle Dokumente heruntergeladen haben, die Sie in Zukunft benötigen.

Unterhalb des Diagramms sehen Sie eine Liste aller Scans, einschließlich des Status, der Art des Scans und der letzten Scanzeit.

Durch Anklicken einer Scanzeile oder des entsprechenden Balkens im Diagramm gelangen Sie zur Übersicht über einen Scan.



Scan Details

Diese Seite gibt Ihnen einen Überblick über die spezifischen Scanergebnisse. Nachdem ein Scan gestartet wurde, sehen Sie die Ergebnisse in Echtzeit in der Ergebnisliste.

Das Feld oben links enthält allgemeine Informationen zu dem Projekt. Das obere mittlere Feld ist ein Kreisdiagramm, für eine bessere visuelle Darstellung der Ergebnisse, gruppiert nach CVSS-Severity. Das rechte obere Feld zeigt die maximale CVSS-Severity des Scans.

Zu den Optionen für den Scan-Start gehören "Manuell", "Scheduler" oder "Webhook". Weitere Informationen zu den Einstellungen für den Scan-Start finden Sie unter "Kontinuierliche Sicherheitstests einrichten".

In der unteren Box sehen Sie den einzelnen Scanner-Status für diesen Scan und ein detailiertes Update des Scan Statuses. Der Screenshot auf der rechten Seite zeigt, dass Sie für die Ausführung des Cross-Site Request Forgery (CSRF)-Scanners die Anmeldeinformationen der Anwendung in der Projekteinstellung konfigurieren müssen (siehe "Kontinuierliche Sicherheitstests einrichten").   




Die Findings sind auf dem Screenshot rechts zu sehen.

Es zeigt den Titel des Schwachstellen-Scanners, detaillierte Informationen über die gefundene Schwachstelle und die Kritikalität von links nach rechts.

Die Standardsortierung erfolgt nach Kritikalität, aber Sie können dies ändern, indem Sie auf die entsprechende Spaltenüberschrift klicken - zum Beispiel, wenn Sie alle SQL Injection-Schwachstellen nebeneinander finden möchten.

Sie können auch nach dem Scannertitel oder nach einem bestimmten Beschreibungsinhalt (z.B. "Zertifikat" für SSL-Zertifikatsschwachstellen) filtern.




Um weitere Informationen über eine Schwachstelle zu erhalten, klicken Sie einfach auf deren Namen. Dies öffnet ein Overlay mit einer zusätzlichen Beschreibung. 

Um Ratschläge zur Behebung der Schwachstelle zu erhalten, klicken Sie auf den bereitgestellten Link "How to fix this issue?”. Dies führt Sie zu unserer Knowledge Base mit detaillierten Erläuterungen zum Problem und dessen Behebung.


6. Kontinuierliche Sicherheitstests einrichten

In den Projekteinstellungen können Sie Einstellungen für die weitere Feinabstimmung Ihrer Sicherheitsscans vornehmen.

Insbesondere im Automatisierungs-Teil können Sie unsere Software in vollem Umfang nutzen, um auf Ihrer Webanwendung oder API für “Continuous Security” zu sorgen(auch als "DevSevOps" bezeichnet).


  • Authentication
    Wenn Ihr System durch eine Authentifizierung geschützt ist, können Sie die erforderliche Authentifizierung für den Zugriff auf das System angeben:
    • System authentication
      Wenn die http-Basisauthentifizierung (.htaccess-Schutz) aktiviert ist, konfigurieren Sie die Anmeldeinformationen hier
    • Application authentication
      Wenn Ihre Anwendung über ein Anmeldeformular verfügt, können Sie hier Zugangsdaten hinzufügen. Dies funktioniert nur bei Multi-Page-Anwendungen
    • API authentication
      Wenn Ihre API eine Authentifizierung benötigt, können Sie hier HTTP-Header oder GET-Parameter für die Authentifizierung eingeben.
      Diese Option wird nur bei API-Projekten angezeigt.
      Für eine ausführliche Anleitung zur API-Authentifizierung lesen Sie bitte diesen Wiki-Artikel..








  • Automatisierung
    In dieser Einstellung können Sie sich durch die Automatisierung die Arbeit abnehmen lassen. Starten Sie einen Sicherheitsscan automatisch jede Woche oder basierend auf einem Trigger-Event:
    • Scheduled scans
      Konfigurieren Sie einen Tages- oder Wochenplan, so dass Ihre Scans automatisch zu einer bestimmten Tages- oder Wochenzeit gestartet werden.
    • Webhook
      Erstellen Sie einen Webhook, damit Ihr Build-System automatisch einen Sicherheitsscan nach Ihren Bedürfnissen starten kann. Sie können den Webhook einfach in Ihre CI/CD-Pipeline integrieren, indem Sie den hier beschriebenen Schritten folgen.





  • Notification
    Geben Sie einen Slack-Webhook an, damit wir Sie jedes Mal benachrichtigen, wenn ein Scan abgeschlossen ist.

  • Weitere Einstellungen
    • Crawling method

      Sie können zwischen den folgenden Crawling-Methoden wählen:
      • Der Smart Crawling Modus versucht, Formulare zu erkennen, die auf mehreren Seiten (z.B. einem Suchformular) erscheinen, um diese nur einmal zu scannen. Somit wird die Scandauer deutlich verkürzt wird.

        Je nach Implementierung Ihrer Webanwendung kann dies die “Scan coverage” verringern, wenn ein identisches Formular mehrmals erscheint, aber unterschiedlich verarbeitet wird.


      • Der umfassende Crawling-Modus (Exhaustive-Crawling) durchsucht jedes erkannte Formular nach Schwachstellen.

        Somit scannen Sie jedes einzelne Formular, was die Scandauer deutlich erhöhen kann. 

    • Throttling

      Passen Sie den Schwellenwert an, um die maximale Anzahl von Anfragen pro Sekunde auf den Server zu begrenzen.



Wir hoffen, dass Sie diesen User Guide nützlich fanden.

Falls Sie Feedback jeglicher Art haben, positiv oder negativ, schreiben Sie uns bitte.

Fröhliches automatisiertes Pentesting!

  • No labels