Was ist ein Pentest?
Ein Penetrationstest (Pentest) simuliert gezielte Hacker-Angriffe auf ein Hard- oder Softwaresystem, um Schwachstellen aufzudecken, Fehler zu identifizieren und die Sicherheitsstandards sowohl auf technischer als auch organisatorischer Ebene zu erhöhen. Außerdem dient er dazu, das bestehende Sicherheitsniveau durch unabhängige Dritte bestätigen zu lassen.
Was wurde geprüft?
Im Rahmen des Pentests untersuchte Trovent Security sowohl die Fachlösungen als auch die Infrastruktur der otris cloud. Ein zentraler Fokus bei der Überprüfung der otris cloud-Infrastruktur lag auf der Identifikation offener Netzwerk-Ports und Fehlkonfigurationen. Für die Überprüfung der otris legal SUITE diente die „OWASP Top 10“ als wichtigste Grundlage.
OWASP Top 10
Die „OWASP Top 10“ ist eine Zusammenstellung des Open Web Application Security Projects der zehn gravierendsten Sicherheitsrisiken für Webanwendungen. Die aktuelle Version des Dokuments listet folgende potenzielle Angriffspunkte auf:
- Injections: Diese Schwachstelle tritt auf, wenn nicht vertrauenswürdige Daten von einer Anwendung verarbeitet werden, was zu unerwünschten Befehlen oder Manipulationen an der Datenbank führen kann.
- Fehler in der Authentifizierung: Schwächen in der Authentifizierung können es Angreifern ermöglichen, sich als andere Benutzer, sogar als Administratoren, auszugeben.
- Verlust der Vertraulichkeit sensibler Daten: Unzureichender Schutz sensibler Daten kann dazu führen, dass Angreifer Zugriff auf private Informationen, wie persönliche Daten oder Finanzinformationen, erhalten.
- XML External Entities: Diese Schwachstelle tritt auf, wenn externe Entitäten in XML-Dokumenten verwendet werden, was zur Offenlegung sensibler Daten, zu Denial-of-Service-Angriffen oder sogar zu Remote Code Execution führen kann.
- Fehler in der Zugriffskontrolle: Fehlerhafte Implementierungen der Zugriffskontrolle erlauben es Angreifern, auf Ressourcen oder Funktionen zuzugreifen, für die sie keine Berechtigung haben.
- Sicherheitsrelevante Fehlkonfigurationen: Unsichere Konfigurationen in Servern, Anwendungen, Datenbanken oder Netzwerken, einschließlich ungenutzter Seiten, nicht sicherer Standardkonten oder veralteter Software, können Angreifer ausnutzen.
- Cross-Site Scripting (XSS): Diese Schwachstelle erlaubt es Angreifern, schädlichen Code (z. B. JavaScript) in die Webseiten anderer Benutzer einzuschleusen, was zum Diebstahl von Sitzungs-Cookies, zur Manipulation von Webseiten oder zu Phishing-Angriffen führen kann.
- Unsichere Deserialisierung: Bei der unsicheren Deserialisierung kann ein Angreifer manipulierte Objekte in eine Anwendung einschleusen, um beliebigen Code auszuführen, Anwendungen zum Absturz zu bringen oder andere schädliche Aktionen durchzuführen.
- Nutzung von Komponenten mit bekannten Schwachstellen: Die Nutzung von Bibliotheken, Frameworks oder anderen Softwarekomponenten mit bekannten Sicherheitslücken kann zu Schwachstellen in der gesamten Anwendung führen.
- Unzureichendes Logging und Monitoring: Mangelnde Protokollierung und Überwachung können dazu führen, dass Angriffe nicht rechtzeitig erkannt oder verhindert werden, was Angreifern ermöglicht, längere Zeit unentdeckt zu bleiben.