Was wurde überprüft?
Mit dem Pentest prüfte die Trovent Security sowohl die Vertragsmanagement-Software als auch die otris cloud-Infrastruktur. Schwerpunkt der Überprüfung der otris cloud-Infrastruktur war die Suche nach offenen Netzwerk-Ports und Fehlkonfigurationen. Wichtigste Grundlage für die Überprüfung der otris contract Software waren die „OWASP Top 10“.
OWASP Top 10
Die „OWASP Top 10“ sind eine Dokumentation des Open Web Application Security Projects zu den zehn kritischsten Sicherheitsrisiken für Webanwendungen. In der aktuellen Fassung des Dokuments sind das folgende mögliche Angriffspunkte:
- Injections: Eine unzureichende Validierung führt dazu, dass die Anwendung Daten verarbeiten kann, die nicht vertrauenswürdig sind.
- Fehler in der Authentifizierung: Führt dazu, dass Angreifer sich als Benutzer ausgeben können.
- Verlust der Vertraulichkeit sensibler Daten: Führt dazu, dass Angreifer beispielsweise an Nutzerdaten mit personenbezogenen Informationen gelangen.
- XML External Entities: Risiko unberechtigter Befehlsausführung oder des Systemversagens bei fehlerhaften Implementierung.
- Fehler in der Zugriffskontrolle: Führt dazu, dass Nutzer auf Daten innerhalb der Anwendung zugreifen können, die nicht für sie freigegeben sind.
- Sicherheitsrelevante Fehlkonfiguration: Angreifer können Fehlkonfigurationen von Firewalls, Webservern oder Webanwendungen nutzen, um an sensible Daten zu gelangen.
- Cross-Site Scripting: Risiko, dass Angreifer an Cookie-Informationen gelangen oder Webseiten beschädigen.
- Unsichere Deserialisierung: Angreifer können unsichere Deserialisierung nutzen, um Befehle auszuführen.
- Nutzung von Komponenten mit bekannten Schwachstellen: Eine permanente Prüfung und Aktualisierung von „fremden“ Softwarekomponenten ist notwendig, um bekannte Sicherheitslücken zu schließen.
- Unzureichendes Logging und Monitoring: Logging und die Analyse der Daten ist ein wichtiger Weg, um Angriffe auf das eigene System zu erkennen.
Wie wurde überprüft?
Trovent Security hat automatisierte und manuelle Tests durchgeführt. Bei den automatisierten Tests penetrieren Programme mit bekannten Angriffsvektoren das zu testende System. Für die manuellen Tests haben sich die Spezialisten der Trovent in die Lage eines Angreifers versetzt und versucht, mit ihrem Know-How in das System einzudringen.
Die untersuchten Angriffsmöglichkeiten bewerteten die Security-Tester aus technischer Sicht und nach Eintrittswahrscheinlichkeit.
Ergebnis
Die IT-Sicherheitsexperten haben bei der Überprüfung der otris contract cloud-Infrastruktur und der Vertragsmanagementsoftware otris contract keine Schwachstellen gefunden, deren Risiko sie als kritisch oder hoch bewerten.
