← Zurück zur Wissensdatenbank← Vorherige FrageNächste Frage →
Manuelle Tests (IT)Tester, QA

Wie führt man manuelle Sicherheitstests von Webanwendungen durch? Welche Schwachstellen sollte man überprüfen und wie dokumentiert man gefundene Probleme?

Bestehen Sie Vorstellungsgespräche mit dem Hintsage-KI-Assistenten

Antwort.

Hintergrund der Frage

Mit der Zunahme von Cyberangriffen hat sich der Fokus auf Sicherheitstests verstärkt. Es ist auch für manuelle Tester wichtig, standardmäßige Schwachstellen zu finden.

Problem

Oft betrachten manuelle Tester Sicherheitsfragen nur als Verantwortung von Automatisierern oder Sicherheitsspezialisten. Dies führt dazu, dass grundlegende Fehler übersehen werden, die für das Geschäft fatal sein können.

Lösung

Manuelles Sicherheitstesting ist der Versuch, potenzielle Angriffe aus der Sicht eines normalen Benutzers zu reproduzieren:

  • Überprüfung auf XSS, SQL-Injection, CSRF.
  • Manipulation von Cookies und Sessions.
  • Versuche, Autorisierungs- und Berechtigungsbeschränkungen zu umgehen.

Alle gefundenen Probleme müssen unbedingt im Muster „Fehlerbericht“ dokumentiert werden, mit detaillierter Beschreibung des Schrittes, erwarteten und tatsächlichen Ergebnisses sowie Angabe des Kritikalitätsgrads.

Wichtige Merkmale:

  • Verwendung einfacher manueller Techniken (Änderung von Parametern in der URL, Versuch, gefährliche Werte einzugeben).
  • Überprüfung gängiger Schwachstellen aus OWASP Top 10.
  • Notwendigkeit der Kommunikation mit DevOps/Backend zur Klärung, wie Fehler behandelt werden und welche Protokolle generiert werden.

Fallstricke.

Kann man alle kritischen Schwachstellen in der Anwendung manuell identifizieren?

Nein. Der manuelle Ansatz ermöglicht es, offensichtliche Schwachstellen zu finden, aber für eine vollständige Abdeckung sind automatisierte Scanner und Penetrationstests erforderlich.

Reicht es aus, nur das Anmelde- und Passwortformular für den Sicherheitstest zu überprüfen?

Nein. Es müssen alle funktionalen Module geprüft werden, insbesondere solche, die Daten ändern/speichern, API-Interaktionen, Datei-Uploads und Berechtigungsoperationen.

Muss der Tester sich mit HTTP-Anfragen und -Antworten auskennen, wenn es um manuelle Sicherheitstests geht?

Ja. Die Arbeit mit Tools wie DevTools, Postman oder Fiddler ist der Schlüssel zur manuellen Auffindung von Sicherheitsproblemen.

Typische Fehler und Antipatterns

  • Die Sicherheitsüberprüfung beschränkt sich auf den Login und die Registrierung.
  • Schwachstellen werden ignoriert, wenn sie nicht sofort ausgenutzt werden konnten.
  • Dokumentation gefundener Schwachstellen, die nicht den Standards von Fehlerberichten entspricht.

Beispiel aus dem Leben

Negativer Fall

Der Tester überprüfte nur den Systemzugang auf XSS, ohne die anderen Benutzerformulare und URL-Parameter zu testen.

Vorteile:

  • Schnell durchgeführter Ersttest.

Nachteile:

  • Kritische Schwachstelle im Benutzerprofil übersehen, bei der eine SQL-Injection hätte durchgeführt werden können.

Positiver Fall

Der Tester überprüfte systematisch alle Eingabeformulare, änderte Parameter in den Anfragen, beschrieb die gefundenen Probleme detailliert im Fehlerbericht und kontaktierte DevOps zur Beratung über die Fehlerbehandlung.

Vorteile:

  • Offensichtliche XSS und Datenzugriffsschwachstelle identifiziert.
  • Vollständige Transparenz des Problems für das Team.

Nachteile:

  • Mehr Zeit für dieses Testen aufgewendet, aber Vertrauen in die Qualität erhöht.