Pen Test

Das Ziel der Penetrationstests ist das Sicherheits­niveau der Plattform kontinuierlich zu evaluieren. Da unsere Plattform sich stetig weiterentwickelt, führt ein externes Unternehmen regelmäßig Kontrollen durch, welche unter anderem folgenden Maßnahmen beinhaltet:

  • Durchführung eines Pen Tests mit Standard-Webtesting-Tools und manuellem Testen
  • Darstellung der allgemeinen webbasierten Sicherheitslücken und Schwachstellen
  • Beurteilung des generellen Sicherheitszustandes der Plattform

Alle Ergebnisse werden in einem schriftlichen Abschlussbericht dokumentiert.

pentest

System Vulnerability Scanning

Automatisierte nicht-invasive Scans der Plattform werden mittels Analysesoftware durchgeführt und sämtliche Zugriffe und Tests mittels Zeitstempel geloggt. Zur Durchführung der Scans werden gängige Softwarewerkzeuge verwendet.

Web Vulnerability Scanning

Gängige Angriffsmuster und Schwachstellen, inklusive der Top 10 Application Security Risks des Open Web Application Security Project, werden durch nicht-invasive Scanning Methoden erprobt.

Proof of Concept

Zusätzlich zu den gefundenen Schwachstellen werden durch die Sicherheitsexperten der externen Firma Szenarien für mögliche Angriffe evaluiert und mit nicht-invasiven Tests belegt, die uns eine Bewertung der dargestellten Risiken ermöglichen.

Berichterstellung

Bei der Berichterstellung werden die gefunden Schwachstellen und erstellten Konzepte bewertet, klassifiziert und daraus Empfehlungen abgeleitet. Diese werden von uns priorisiert und entsprechende Maßnahmen getroffen.

Mitigation vom letzten Pen Test

Durchführung in KW36

  • Anpassungen für Content-Security-Policy-Header
  • Strict-Transport-Security ist im Header nun gesetzt
  • Umstellung auf Secure-Cookies ist für die gesamte Webseite erfolgt
  • Flag für Samesite-Cookies sind in Planung

Durchführung in KW26

  • Die Datei crossdomain.xml wurde entfernt. CORS-Deklarationen werden nicht mehr benötigt, da sämtliche API Zugriffe über JSONP erfolgen können
  • Der Content-Security-Policy-Header kann nun dynamisch für bestimmte Seiten gesetzt werden
  • Eine Umstellung auf Secure-Cookies ist für die gesamte Webseite erfolgt. Für White Label Kunden ist diese noch in Planung
  • Das autocomplete="off"-Attribut wurde auf den Anmeldeseiten eingefügt
  • JavaScript Bibliotheken wurden aktualisiert

Weiterführende Links

Top