Bildhintergrund IT-Security

SRC unter­stützt aktiv lang­jäh­ri­ge Part­ner­schaft mit der Alli­anz für Cyber­si­cher­heit

Durch­füh­rung eines kos­ten­lo­sen Web App­li­ca­ti­on Secu­ri­ty Scans

SRC ist seit vie­len Jah­ren Part­ner der Alli­anz für Cyber­si­cher­heit. Als akti­ve Unter­stüt­zung die­ser Part­ner­schaft hat SRC im Jahr 2018 eine kos­ten­lo­se Durch­füh­rung eines Web App­li­ca­ti­on Secu­ri­ty Scans für maxi­mal fünf Mit­glie­der der Alli­anz ange­bo­ten.

Wis­sens­wer­tes zu den Web App­li­ca­ti­on Secu­ri­ty Scans

Web App­li­ca­ti­on Secu­ri­ty Scans haben das Ziel, Feh­ler in der Archi­tek­tur und der Kon­fi­gu­ra­ti­on der unter­such­ten Web­an­wen­dung zu iden­ti­fi­zie­ren. Sol­che Schwach­stel­len könn­ten aus­ge­nutzt wer­den, um bei­spiels­wei­se Inhal­te der Sei­te zu ver­än­dern (XSS, Cross Site Scrip­ting). Auch Inhal­te der Daten­bank könn­ten her­un­ter­ge­la­den oder admi­nis­tra­ti­ve Rech­te erlangt wer­den. Wird ein Sys­tem auf die­se Art kom­pro­mit­tiert, dann könn­te die­ses für wei­te­re Angrif­fe in Rich­tung der eige­nen inter­nen Infra­struk­tur ver­wen­det wer­den.

SRC prüft, im Gegen­satz zu voll­au­to­ma­ti­sier­ten Web App­li­ca­ti­on Secu­ri­ty Scans, auch Sei­ten, die der Benut­zer erst nach der Regis­trie­rung oder Anmel­dung ange­zeigt bekommt. Bei voll­au­to­ma­ti­sier­ten Scans ohne Berück­sich­ti­gung von Authen­ti­fi­zie­rungs­pro­zes­sen kön­nen sol­che Schwach­stel­len nicht auf­ge­deckt wer­den. Genau das erlaubt jedoch der Web App­li­ca­ti­on Secu­ri­ty Scan und bie­tet somit einen umfäng­li­che­res Sca­n­er­geb­nis.

Die Durch­füh­rung der Scans erfolgt „non-dest­ruc­tive“ und „non-instrusi­ve“. Das bedeu­tet, dass Schwach­stel­len iden­ti­fi­ziert wer­den. Es geht, wie bei­spiels­wei­se bei den Pene­tra­ti­ons­tests, nicht um den Ver­such, die auf­ge­deck­ten Schwach­stel­len auch aus­zu­nut­zen. Die Scandurch­füh­rung erfolgt in enger Abspra­che mit dem Teil­neh­mer.

Gro­ße Nach­fra­ge bei den Mit­glie­dern der Alli­anz

Die von SRC ange­bo­te­nen Web App­li­ca­ti­on Secu­ri­ty Scans stie­ßen auf gro­ße Nach­fra­ge unter den Mit­glie­dern der Alli­anz. Aus die­sem Grund sind die fünf ange­bo­te­nen Scans bereits ver­grif­fen. Eine Nach­be­richt­erstat­tung über die Durch­füh­rung der Scans ist dem­nächst in unse­rem Blog zu fin­den. Wei­te­re Details fin­den Sie auch auf den Web­sei­ten der Alli­anz für Cyber­si­cher­heit.