Was wurde überprüft?
Mit dem Pentest prüfte die Trovent Security sowohl die Vertragsmanagement-Software otris contract als auch die Beteiligungsmanagement-Software otris corporate. Wichtigste Grundlage für die Überprüfung der Web Applikationen waren die „OWASP Top 10“.
OWASP Top 10
Die OWASP Top 10 ist eine regelmäßig aktualisierte Zusammenfassung der 10 relevantesten Sicherheitsrisiken für Webanwendungen. Die Zusammenstellung und Beschreibung der Risiken übernimmt die Organisation „Open Web Application Security Project“, kurz OWASP. Die OWASP ist eine internationale Non-Profit-Organisation, die eine Verbesserung der IT-Sicherheit zum Ziel hat. An der Erstellung und Aktualisierung der OWASP 10 arbeitet ein Team aus internationalen Sicherheitsexperten. In der aktuellen Fassung des Dokuments werden folgende Angriffspunkte beschrieben: Broken Access Control, Cryptographic Failures, Injection, Insecure Design, Security Misconfiguration, Vulnerable and Outdated Components, Identification and Authentication Failures, Software and Data Integrity Failures, Security Logging and Monitoring Failures, Server-Side Request Forgery. Ausführliche Informationen zu den Risiken unter: OWASP Top Ten | OWASP Foundation
Wie wurde überprüft?
Trovent Security hat manuelle und automatisierte Testmethoden angewendet. Manuelle Methoden sind Tests, bei denen sich die Spezialisten der Trovent in die Lage eines Angreifers versetzen und mit ihrem Wissen versuchen, in das zu testende System einzudringen. Automatisiere Methoden umfassen unterschiedliche Angriffsarten durch Programme, die das zu testende System mit bekannten Angriffsvektoren penetrieren. Die untersuchten Angriffsmöglichkeiten bewerteten die Security-Tester aus technischer Sicht und nach Eintrittswahrscheinlichkeit.
Ergebnis
Bei der Überprüfung der Vertragsmanagement-Software otris contract und der Beteiligungsmanagement-Software otris corporate haben die IT-Sicherheitsexperten keine Schwachstellen gefunden, deren Risiko sie als mittel, hoch oder kritisch bewerten.