Zusammenfassung Web-Security-Check ZIELSYSTEM



Ähnliche Dokumente
Schwachstellenanalyse 2012

Schwachstellenanalyse 2013

Web 2.0 (In) Security PHPUG Würzburg Björn Schotte

am Beispiel - SQL Injection

am Beispiel - SQL Injection

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick:

Dokumentation Externe Anzeige von Evento Web Dialogen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Sicherheit in Webanwendungen CrossSite, Session und SQL

Wie richten Sie Ihr Web Paket bei Netpage24 ein

NetScaler Integration bei Hellmann Worldwide Logistics. Benjamin Kania IS Enterprise Services Manager Hannover,

Warum werden täglich tausende von Webseiten gehackt?

Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite.

BusinessMail X.400 Webinterface Gruppenadministrator V2.6

Toyotaschadennetz.de Systemvoraussetzungen / Einstellungen / Login Stand:

Session Management und Cookies

Seite Out-Of-Band-Authentifizierung (OOBA) 8.1 Einleitung

Datensicherheit. Vorlesung 7: Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Dieses Dokument soll dem Administrator helfen, die ENiQ-Software als Client auf dem Zielrechner zu installieren und zu konfigurieren.

white sheep GmbH Unternehmensberatung Schnittstellen Framework

Web Applications Vulnerabilities

Whitepaper. Produkt: List & Label 16. List & Label 16 unter Linux/Wine. combit GmbH Untere Laube Konstanz

Adminer: Installationsanleitung

Anleitung BFV-Widget-Generator

Web Application Security

Task: Nmap Skripte ausführen

@GIT Initiative zur Standardisierung von Telemedizin. Empfehlung für ein standardisiertes Telemedizin/ -radiologie Übertragungsformat via

Clientless SSL VPN (WebVPN)

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Selbst ist die Frau / der Mann: eine eigene Homepage erstellen!

Die Anmeldung. Die richtigen Browser-Einstellungen. Microsoft Explorer 5.x, 6.x

BFV Widget Kurzdokumentation

ACCOUNTINFO 1.01 VERWENDEN DER ACCOUNTINFO-SCHNITTSTELLE ABFARGE VON ACCOUNT-INFORMATIONEN IN ECHTZEIT 02. MÄRZ 2010

Vitaminkapseln.ch - SEO Check

Webseitenintegration. Dokumentation. v1.0

Microsoft Internet Explorer

Einrichten einer Verbindung zwischen Outlook 2010 und Exchange-Postfach per RPC over HTTPS

Daten werden auf dem eigenen Server gespeichert (datenschutzkonform)

SALSAH eine virtuelle Forschungsumgebung für die Geisteswissenschaften

Was ist bei der Entwicklung sicherer Apps zu beachten?

Inhaltsverzeichnis

BFV Widgets Kurzdokumentation

PHP Kurs Online Kurs Analysten Programmierer Web PHP

Handout Wegweiser zur GECO Zertifizierung

Sichere Webapplikationen nach ONR oder Wer liest meine s?

Seite 1 von 14. Cookie-Einstellungen verschiedener Browser

Horstbox VoIP. Stefan Dahler. 1. HorstBox Konfiguration. 1.1 Einleitung

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

Xampp-Installation und Konfiguration. Stefan Maihack Dipl. Ing. (FH) Datum:

Lokale Installation von DotNetNuke 4 ohne IIS

OWASP Top 10. im Kontext von Magento. Mittwoch, 21. November 12

Aktuelle Bedrohungen im Internet

Ein neues Outlook Konto können Sie im Control Panel über den Eintrag Mail erstellen.

Whitepaper Retargeting

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Adventskalender Gewinnspiel

RIPS. Automatisierte Schwachstellenerkennung in PHP-Software mittels statischer Quellcode-Analyse. BSI Deutscher IT-Sicherheitskongress

Google Chrome. Browsereinstellungen ab Version 33. Portal. erstellt von: EXEC Software Team GmbH Südstraße Ransbach-Baumbach

FTP Tutorial. Das File Transfer Protocol dient dem Webmaster dazu eigene Dateien wie z.b. die geschriebene Webseite auf den Webserver zu laden.

Microsoft Internet Explorer

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Benutzerhandbuch für Betriebe Lehrbetriebsübersicht - Betriebserkundungsangebot

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling

INHALTSVERZEICHNIS Allgemeine Beschreibung... 3 Verwendung der Webseite... 4 Abbildungsverzeichnis... 12

TimeMachine. Time CGI. Version 1.5. Stand Dokument: time.odt. Berger EDV Service Tulbeckstr München

Verwendung des Mailservers

my.green.ch... 2 Domänenübersicht... 4

Dokumentation PuSCH App. windows-phone

> Mozilla Firefox 3.5

Anforderungen an die HIS

SSO-Schnittstelle. Inhalt: Beschreibung der Single Sign-On (SSO) Schnittstelle. NetSlave GmbH Simon-Dach-Straße 12 D Berlin

n Hosted Exchange Corporate 2010

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am

Die PayPal Testumgebung (Sandbox) Inhalt. Version Dezember 2013

Anleitung zum Prüfen von WebDAV

Schritt für Schritt Anleitung für unser Partnerprogramm. 1. Schritt Anmeldung:

Diese Funktion steht für den «Kontoübertrag» nicht zur Verfügung, da alle Angaben bezüglich der Konten bereits eingetragen sind.

Bewertungen durch Patienten im Internet:

Betroffene Produkte: Alle Versionen von Oracle Forms (3.0-10g, C/S und Web), Oracle Clinical, Oracle Developer Suite

Step-By-Step Tutorial für den Domainrobot

ISA Server 2004 Einzelner Netzwerkadapater

Anleitung zur Bearbeitung von Prüferkommentaren in der Nachreichung

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank

Aufruf der Buchungssystems über die Homepage des TC-Bamberg

Einrichten des Mail-Clients für Exchange unter Mac OS X

ISA Server Exchange RPC over HTTPS mit NTLM-Authentifizierung

COMPUTER MULTIMEDIA SERVICE

Seminar DWMX DW Session 015

Transaktionsempfehlungen im ebase Online nutzen

Inhalt: Ihre persönliche Sedcard... 1 Login... 1 Passwort vergessen... 2 Profildaten bearbeiten... 3

Änderung des Portals zur MesseCard-Abrechnung

Benutzerhandbuch. Bürgel ConsumerCheck für OXID eshop

Pentabarf (Die fünf Gebote)

11 Spezielle Einstellungen Ihres Baukastens

! " # $ " % & Nicki Wruck worldwidewruck

Test mit lokaler XAMPP Oxid Installation

ÖVSV Mitglieder-Datenbank. Benutzerhandbuch Version 1.2.1

Transkript:

Zusammenfassung Web-Security-Check ZIELSYSTEM für KUNDE (nachfolgend Auftraggeber genannt) von secudor GmbH Werner-von-Siemensstraße 6 Gebäude 9 86159 Augsburg (nachfolgend Auftragnehmer genannt)

Inhalt 1 Zusammenfassung... 3 1.1 Informationen... 3 1.2 Einordnung der Gefährdungsstufe... 3 1.3 Verteilung der Schwachstellen... 3 1.4 Performance und Antwortzeiten:... 3 1.5 Scanverlauf... 4 1.6 Empfehlungen... 4 1.7 Berichte... 4 2 Übersicht Schwachstellen... 5 Seite 2 von 5 secudor GmbH Moststraße 7 91799 Langenaltheim Geschäftsführer Joachim A. Hader Telefon +49 9145 839431 Mobil +49 151 53872750 info@secudor.de www.secudor.de Bank: Postbank IBAN: DE14700100800639075807 BIC: PBNKDEFF UstID: DE298369930 Registergericht: Amtsgericht Ansbach Registernummer: HRB5986

1 Zusammenfassung 1.1 Informationen Scan Information Startzeit 15.11.2015 21:00 Endezeit 16.11.2015 17:00 Scan Dauer Profile Default Server information Responsive Server banner Server OS Ja Apache/2.4.10 Unknown 1.2 Einordnung der Gefährdungsstufe Threat level Acunetix Threat Level 3 Eine oder mehrere als HOCH einzustufende Schwachstelle wurde durch den Scan entdeckt. Ein Angreifer kann diese Schwachstellen nutzen und das Backend (Datenbank) oder den Internetauftritt kompromittieren. 1.3 Verteilung der Schwachstellen High: Diese Schwachstellen sind sofort zu untersuchen. Ein versierter Angreifer könnte hier ohne große Aufwand Zugriff auf das Backend bekommen oder den Internetauftritt verändern. Aufwand (Zeit, Arbeit) für Angreifer gering. Medium: Diese Schwachstellen können von versierten Angreifern genutzt werden, um Informationen über die Webseite, das Backend und den Datenverkehr zu bekommen. Dies hilft dem Angreifer bei Planungen von Angriffen. Gefundene Schwachstellen 34 High 8 Medium 9 Low 12 Informational 5 1.4 Performance und Antwortzeiten: Die Schwachstellenanalyse wurde mit der Analyse-Software Acunetix Web Vulnerability Scanner 10.0 durchgeführt. Anzahl der Anzeige von gleichen Warnungen wurde auf 10 begrenzt (s. 1.5 Scanverlauf). Da es sich um wiederholende Warnungen handelt, sollten auch andere Bereiche des Shop hinsichtlich der Warnung geprüft werden. Der Scan führte zu hoher Auslastung (Prozessor) des Web-Servers, hatte aber keine erkennbaren Einschränkungen für das Web-Frontend. Dies sollte bei nachfolgenden Schwachstellenanalysen beachtet werden. Seite 3 von 5

1.5 Scanverlauf Nachfolgend der Bericht über den Verlauf des Web-Security-Scans: 1.6 Empfehlungen Auf Grund der Ergebnisse werden folgende Empfehlungen ausgesprochen. 1.7 Berichte Für die weitere Bearbeitung und Beseitigung der Schwachstellen können weitere Berichte zur Verfügung gestellt werden. Die in den Detail-Berichten aufgeführten Schwachstellen sollten von den Entwicklern bewertet werden. Die Bewertung hat den Zweck, festzustellen ob die Schwachstelle existiert und damit eine Gegenmaßnahme getroffen werden kann oder ob hier keine Schwachstelle vorliegt (false-positiv-bewertung). Dies ist für nachfolgende Scans von Vorteil und kann die Laufzeit reduzieren. Nachfolgende Scans können auf das Ergebnis referenzieren und Veränderungen darstellen. Seite 4 von 5

2 Übersicht Schwachstellen Nachfolgend sind die gefundenen Schwachstellen mit der Einstufung der Kritikalität (Serverity) aufgeführt. Schwachstellen (Gruppierung) Severity Anzahl CRLF injection/http response splitting High 5 Cross site scripting (verified) High 6 HTTP parameter pollution High 3 PHP allow_url_include enabled High 1 PHP register_globals enabled High 1 Security vulnerability in MySQL/MariaDB sql/password.c High 3 SQL injection High 9 Vulnerable Javascript library High 1 Application error message Medium 2 Basic authentication over HTTP Medium 1 HTML form without CSRF protection Medium 7 Insecure transition from HTTP to HTTPS in form post Medium 3 PHP allow_url_fopen enabled Medium 1 PHP open_basedir is not set Medium 1 PHP session.use_only_cookies disabled Medium 1 PHP session.use_trans_sid enabled Medium 1 PHPinfo page found Medium 2 Clickjacking: X-Frame-Options header missing Low 1 Cookie without HttpOnly flag set Low 3 Cookie without Secure flag set Low 3 Insecure transition from HTTPS to HTTP in form post Low 10 Login page password-guessing attack Low 1 Possible relative path overwrite Low 10 Possible sensitive directories Low 5 Possible sensitive files Low 8 Session Cookie scoped to parent domain Low 1 Session token in URL Low 10 Slow response time Low 8 TRACE method is enabled Low 1 Broken links Informational 10 Content type is not specified Informational 4 Email address found Informational 10 GHDB Informational 12 Password type input with auto-complete enabled Informational 4 Seite 5 von 5

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback