Hacker testen KIVAN

Mitte September führte die Firma Securai GmbH aus Garching einen Penetrationstest auf eine bei der Lecos GmbH gehostete Kundenumgebung von KIVAN durch. Der Test orientierte sich an den Top Ten der Open-Web-Application-Security-Project (OWASP) und dem OWASP Application-Security-Verification-Standard (ASVS).

Der Test umfasst unter anderem:

  • Zugriff auf Daten ohne entsprechende Berechtigungen

  • Einschleusen von Datenbank- oder Betriebssystembefehlen

  • Manipulation von Inhalten (XSS)

  • Sicherstellung eines funktionierenden Authentifizierungs- und Sitzungsmanagements

  • Aufspüren von Fehlkonfigurationen und anderen Datenlecks, die zum Abfluss von vertraulichen Informationen führen können

  • Einsatz veralteter Software auf Applikationsebene (z.B. JavaScript-Bibliotheken)

  • Optimierungen in Bezug auf die Sicherung der Applikation gegenüber künftigen Angriffsmöglichkeiten

  • Sonstige spezifische Web-Schwachstellen (CSRF, Open Redirection)

Im Ergebnis wurde uns heute vorab ein sehr gutes und sicheres Produkt bescheinigt. Es gelang dem Tester nicht, unbefugt an personenbezogene Informationen zu gelangen. Dem Entwicklerteam wurde „Arbeiten auf hohem Niveau“ bescheinigt.

Die entdeckten Schwachstellen waren lediglich dazu geeignet, um in bestimmten Konstellationen Daten im System zu löschen, ohne diese jedoch einsehen bzw. auswerten zu können. Andere könnten für Phishing ausgenutzt werden, wenn KIVAN in fremde Webseiten eingebaut wird, z. B. mittels iframe-html Code.

Das Entwicklerteam hat Hinweise zum Umgang mit diesen Schwachstellen erhalten und wird diese umgehend schließen.