|
unsere services im bereich "assessment" beinhalten "blackbox" - "white/glassbox"- und
"single-procuct" - tests. eine kurze beschreibung dieser verschiedenen testmethoden entnehmen
sie bitte den detailbeschreibungen auf dieser seite.
natuerlich uebernehmen wir fuer sie auch die analyse, planung und implementierung einer sicheren
externen, sowie internen netzwerkstruktur, und den dazu notwendigen applikationen.
fuer detailliertere informationen ueber unsere zusaetzlichen
services kontaktieren sie uns bitte telefonisch oder mittels eines kurzen e-mails.
(Unsere KONTAKTSEITE finden sie HIER)
|
dieser test sollte, wenn gewuenscht in einer 2ten phase eines umfassenden security-audits
erfolgen. dabei erhaelt der tester zugriff auf die sourcen und den(die) betroffenen server
und deren konfiguration.
wir sind in der lage folgende software/server/systeme abzudecken:
***Webserver: apache,iis,netscape
***Datenbanksysteme:mysql,postgres,oracle
***Script/Programmiersprachen:C,Perl,PHP,Java,phyton
***Andere Server/services:Tomcat
fuer alle anderen services/systeme/produkte koennen audits nur unter vorheriger absprache
erfolgen.
ein glass-box test erweitert den white-box test insofern, dass gefundene probleme noch waehrend
des tests in "black-box manier" angewandt werden.
|
|
bei einem sogenannten blackbox-audit wird das fremde netzwerk/server ausschliesslich
von "externen" quellen getestet/attackiert. der Tester verfuegt dabei ueber keinerlei wissen
ueber verwendete server-software, netzwerktopologie-, struktur, datenbanken etc.
sinnvollerweise werden dabei alle gefundenen services des/der server auf sicherheitsmaengel
getestet. web- bzw. internetauftritte werden immer als ganzes betrachtet. es hat keinen sinn
teilbereiche als sicher zu definieren, wenn andere, am gleichen server laufende services
absolut unzureichend gesichert sind.
das kann im maximalfall bedeuten ...der test von XYZ umfasst:
-"network and -services" (classic internet services)
-"web-presentation layer" (multiple webserver load balanced)
-"web-middle ware/program logic"
-"database backend" (rdbms)
-"non web-based other services"
Testmethoden:
***INFORMAL(Comments/Identifying Characteristics/Error Codes/Forceful Searching/Browsing)
***INPUT VALIDATION(Circumventing/client side manipulation/Unicode Encoded Strings/
URL Encoded Strings/OS Commands/Direct SQL Commands/Buffer Overflows/Path Traversal/Cross-Site Scripting/
Format Strings/Null Characters/Meta Characters
***SESSION MANAGEMENT(Page Sequencing/Hi-Jacking/Session Replay/Man in the Middle Attacks
***AUTHENTICATION(General authentication/Key- and Cookie Poisoning/WWW Session Hijacking/Timeout Issues/
Forged Attacks/Password Recovery/Brute force/Interrogative adversary/Passive eavesdropper/Active eavesdrops)
***PARAMETER MANUPULATION(URL Manipulation/Hidden Form Field Manipulation/Cookie Manipulation/
Serialized Object Manipulation)
***PRIVACY VIOLATIONS(Cach/Browser Cache/History/Browser Auto-completes/Client IP Tracking/Referer)
***MIS-CONFIGURATIONS(Vendor Patches/Default Accounts)
***BACKDOORS(Debug Commands/Covert Channels)
***TROJANS(Malicious mobile code/Application Trojans/Data Tainting)
uEAm.
obige klassen werden in zukunft mittels UML-diagramme beschrieben.
diese koennen als zusaetzlicher punkt im protokoll aufscheinen.
je nach zeitaufwand werden einige bis alle dieser klassen getestet. gefundene security-probleme
werden bis zum notwendigen grad ("proof of concept") genuetzt und protokolliert.
natuerlich verhindern systemgegebenheiten das testen "aller" klassen .. dh. zb: ist im
system keine moeglichkeit zur authentifierung vorhanden, dann kann die klasse "AUTHENTICATION" und
alle ihre subklassen nicht zur anwendung kommen.
fuer jeden bug wird, sofern moeglich, ein kurzer vor- bzw. ratschlag fuer einen sog.
"hotfix" des spezifischen problems beschrieben. ein moeglicher "buxgix" ist jedoch nicht
in der audit-package vorgesehen!(siehe protokollierung)
|
die vorgehensweise bei einem service- oder produkttest entspricht generell dem white-box test,
wobei jedoch nur auf 1 spezielles service/produkt/programm ruecksicht genommen wird.
bei dem produkt kann es sich sowohl um eigenentwicklungen als auch um fremd/standard-software handeln.
einige beispiele dazu:
*webserver-modul (Std.-SW/Individual)
*single-sign-on software (Std.-SW/Individual)
*webshop (Std.-SW/Individual)
*mailserverkonfiguration
u.v.a.m.
Was nicht enthalten ist
***Social Engineering Attacken***
es wird nicht versucht mittels nicht-technischer tricks an passwoerter und andere informationen
des betroffenen systems zu gelangen.
***D.enial o.f S.ervice Attacken***
es werden keinerlei Attacken gegen das betroffene System gestartet, die dessen laufenden Betrieb
gefaerden.
***Bugfixes***
es werden lediglich kurze hinweise zur schnellen behebung der probleme geliefert, jedoch
die bugs nicht gefixt
Protokollierung
im protokoll werden alle test-ergebnisse "tabellarisch" und verstaendlich aufbereitet.
die vorgehensweise und erkenntnisse des testers, die sogenannte anatomie wird beschrieben.
fuer gefundene sicherheitsluecken werden beweise("proof of concept") vorgelegt.
kurze anmerkungen fuer eine schnelle schliessung der gefundenen bugs werden geliefert(hotfix).
Klassifizierung(Severity) sicherheitsrelevanter Systemfehler:
Fehler werden nach deren "severity"(gefahren-grad) eingestuft.
die severity beinhaltet folgende stufen:
***leicht
eine direkte gefaerdung ihres systems ist im bereich des moeglichen (zb.: "path-disclosure").
***mittel
eine direkte gefaerdung ihres systems ist gegeben bedarf allerdings
zusaetlicher schritte des angreifers um sie auszunuetzen (zb.: "file-disclosure").
***schwer
eine direkte gefaerdung inkl. eindeutiger folgen ohne weiter schritte
des angreifers ist gegeben (zb.: "os-command-execution o. direct-sql-execution")
***sehr schwer
eine direkte gefaerdung inkl. kompletter uebernahme ihres systems durch
den angreifer ohne zusaetzliche massnahmen ist gegeben (zb.: "root/administrator password").
betreffen die gefundenen sicherheitsmaengel "standard-software" oder ein zugekauftes
produkt eines drittanbieters, wird dieser ueber die maengel seines produktes informiert.
Andere Dienstleistungen
gemeinsam mit unseren partnern erstellen wir fuer sie individuelle sicherheitskonzepte fuer
ihre internetpraesenz.
zusaetzlich kreieren wir auf wunsch individualsoftware fuer
dynamische internetanwendungen und beschaeftigen uns mit der entwicklung und
implementation sicherer webservices und -applikationen.
(fuer weiterfuehrende informationen kontaktieren sie uns bitte HIER)
|
