Ziele: Schwachstellen identifizieren, Test der Webanwendungen und IT-Systeme
Das Ziel der Prüfung war die Identifizierung von Schwachstellen innerhalb der Web-Anwendung sowie innerhalb der IT-Systeme, die zum Betrieb eingesetzt werden. Dazu wurden ein externer Penetrationstest sowie ein Web-Penetrationstest durch HiSolutions durchgeführt.
Herausforderungen: Abgrenzung zum ILIAS-Unterbau, Eigenentwicklungen im Fokus
Besonders herausfordernd war die Abgrenzung zum verwendeten Unterbau, der auf der Open-Source-Lernplattform ILIAS basiert, sodass Eigenentwicklungen und genutzte Funktionen im Fokus der Untersuchung standen.
Umsetzung:Offene und flexible Kundenkommunikation, Test vollständig remote durchgeführt, OWASP Top 10 geprüft
Die Umsetzung der durchgeführten Prüfungen verlief reibungslos, was auch der offenen und flexiblen Kommunikation mit dem Kunden geschuldet war. Dabei wurden die Tests vollständig remote durchgeführt. HiSolutions hat im Web-Penetrationstests nach den OWASP Top 10 Schwachstellen für Web-Anwendungen gesucht.
Ergebnis:Schwachstellen mit mittlerer Kritikalität erkannt, konkrete Behebungsempfehlungen genannt
Die Ergebnisse der Penetrationstests wurden in einem Abschlussbericht festgehalten. Es konnten zwei Schwachstellen mit mittlerer Kritikalität durch HiSolutions identifiziert werden, die im Bericht entsprechend detailliert beschrieben wurden. Dabei handelte es sich um eine Schwachstelle, die das Einschleusen von CSV-spezifischen Steuerzeichen erlaubte, eine sogenannte CSV-Injection. Diese erlaubte es einem Angreifer Schadcode zu platzieren, der bei Export zu einer CSV-Datei und anschließendem Export und Öffnen auf dem System des Benutzers ausgeführt wurde. Weiterhin wurde eine Schwachstelle identifiziert, die auf einer unzureichenden Prüfung beim Upload von Dateien basierte, sodass es möglich war beliebige Dateitypen mit beliebigen Inhalt hochzuladen. Zur Behebung dieser Schwachstellen erhielt CaT konkrete Behebungsempfehlungen.
Das sagt unser Kunde:
„Die Zusammenarbeit mit den Kollegen von HiSolutions war von der Projektanbahnung übers Scoping bis zur Nachbesprechung des Berichts professionell und partnerschaftlich. Sowohl unser Kontext als auch unser Testbedarf beim Penetrationstest wurden gut verstanden und fanden sich in der Durchführung des Tests und im Report wieder. Wir freuen uns darauf, beim nächsten Test gemeinsam mit den Kollegen unser System noch sicherer zu machen.“
Richard Klees, Geschäftsführung
HiSolutions ist die führende Management- und Technologie-Beratungsgesellschaft für Sicherheit und Digitalisierung. Seit über 30 Jahren kombinieren wir hochspezialisiertes Know-how mit Konzeptionsstärke, Innovationskraft und Umsetzungskompetenz.
Mehr als 350 Mitarbeitende an sechs Standorten unterstützen Unternehmen und Institutionen nahezu aller Branchen sowie die öffentliche Verwaltung in Bund, Ländern und Kommunen dabei, die Chancen des digitalen Wandels für sich zu nutzen und die damit verbundenen Risiken zu beherrschen. In etwa 1.500 Projekten jährlich werden Grenzen und Barrieren in der Zusammenarbeit von Business und IT abgebaut und wirkliche Business-IT-Partnerschaften entwickelt.
Die CaT Concepts and Training GmbH ist ein Spezialist im digitalen Bildungsmanagement, der seine Kunden sowohl konzeptionell und strategisch bei der Entwicklung von E-Learning Content unterstützt, als auch ein eigens entwickeltes Lernmanagementsystem (LMS) „cate“ zur Verfügung stellt. Sie sind Treiber der digitalen Aus- und Weiterbildung und ebnen vielen Unternehmen den Weg in die digitale Bildungslandschaft
Kontakt:
HiSolutions AG | Schloßstraße 1 | 12163 Berlin | Fon +49 30 533 289-0 | Fax +49 30 533 289-900 | info@hisolutions.com | www.hisolutions.com
HiSolutions AG
Schloßstraße 1
12163 Berlin
Telefon: +49 (30) 533289-0
Telefax: +49 (30) 533289-900
http://www.hisolutions.com
Personalmarketing & Kommunikation
Telefon: +49 (30) 533298-0
E-Mail: bansen@hisolutions.com
