Web-Applikations Audit
Die gewünschten Web-Applikationen werden jeweils aus Sicht eines externen Users ohne Login, wenn nötig auch mit einem gültigen Account, untersucht. Das Augenmerk liegt dabei darauf, ob es möglich ist, Rechte zu erlangen, die für jene Usergruppe nicht vorgesehen sind. Es wird auch erforscht, ob insbesondere auf die Administrationsschnittstellen der Applikation zugegriffen werden kann, Daten abgezogen werden können oder aber auch dem sog. „Defacement“, dem Verändern von Webseiten. Unter anderem werden die Applikationen auf nachfolgende Schwachstellen überprüft:
Ein Auszug daraus:
- Injection (SQL, CRLF, Code,...)
- Cross-Site-Scripting
- Directory Traversal
- Path Traversal
- Information Leaks
- Session Handling Flaws
- URL Enumeration
- Forceful Browsing
- Konfigurationsmanagement
- Session Management
- System-/Fehlermeldungen
- Datenbankenzugriff
- Einbindung von Dateien
- Formulare und Benutzereingaben
CoreTEC bietet ebenfalls einen Workshop zum Thema “Sicherheitsstandards in der Webentwicklung" an. Dieser richtet sich an Entwickler von Web-Applikationen, mit dem Ziel diese zukünftig sicherer zu gestalten.