Blog - Wir erfüllen höchste Sicherheitskriterien

Kivan News

Blog - Eintrag


Wir erfüllen höchste Sicherheitskriterien

Mitte September wurde durch die Firma Securai GmbH aus Garching ein Penetrationstest auf eine bei Lecos gehostete Kundenumgebung von Kivan durchgeführt. Der Test orientierte sich an den Open Web Application Security Project (OWASP) Top Ten und dem OWASP Application Security Verification Standard (ASVS).

Mitte September wurde durch die Firma Securai GmbH aus Garching ein Penetrationstest auf eine bei Lecos gehostete Kundenumgebung von Kivan durchgeführt. Der Test orientierte sich an den Open Web Application Security Project (OWASP) Top Ten und dem OWASP Application Security Verification Standard (ASVS).

Getestet werden dabei unter anderem:

  • Zugriff auf Daten ohne entsprechende Berechtigungen
  • Einschleusen von Datenbank- oder Betriebssystembefehlen
  • Manipulation von Inhalten (XSS)
  • Sicherstellung eines funktionierenden Authentifizierungs- und Sitzungsmanagements
  • Aufspüren von Fehlkonfigurationen und anderen Lecks, die zum Abfluss von vertraulichen Informationen führen können
  • Einsatz veralteter Software auf Applikationsebene (z.B. JavaScript-Bibliotheken)
  • Optimierungen in Bezug auf die Sicherung der Applikation gegenüber künftigen Angriffsmöglichkeiten
  • Sonstigen spezifischen Web-Schwachstellen (CSRF, Open Redirection)

Im Ergebnis wurde uns heute vorab ein sehr gutes und sicheres Produkt bescheinigt. Es gelang dem Tester nicht, unbefugt an personenbezogene Informationen zu gelangen. Dem Entwicklerteam wurde „Arbeiten auf hohem Niveau“ bescheinigt.

Die entdeckten Schwachstellen waren lediglich dazu geeignet, um in bestimmten Konstellationen Daten im System zu löschen, ohne diese jedoch einsehen bzw. auswerten zu können. Andere könnten für Phishing ausgenutzt werden, wenn Kivan in fremde Webseiten eingebaut werden wird, z. B. mittels iframe-html Code.

Das Entwicklerteam hat Hinweise zum Umgang mit diesen Schwachstellen erhalten und wird diese umgehend schließen.