Security und penetration Testing

Durch regelmäßige Updates und Sicherheitstests minimieren wir in allen von uns entwicklten und betreuten Anwendungen und Webseiten potentielle Sicherheitsrisiken.

Updates

Egal ob Server, Content-Management-System, Frontendbibliothek oder individuell programmierte Anwendung. Regelmäßige Updates schließen Sicherheitslücken und beheben Fehler.

Außerdem bleibt die Software so kompatibel für zukünftige Erweiterungen und Updates auf die nächste Major Version (TYPO3 v10 -> TYPO3 v11) werden in ihrer Komplexität deutlich reduziert.

Grundlegende Sicherheitsoptimierungen einer Seite

Es gibt diverse Optionen, um eine Seite grundlegend abzusichern. Dazu gehört z.B. der Schutz vor Cross-Site-Scripting, die Kontrolle, welche Inhalte innerhalb der Seite angezeigt und welche Scripte ausgeführt werden.

Die folgende Liste zeigt die wichtigsten Parameter:

Siehe z.B. die Ergebnisse von rm-solutions.de

Der Scanner von Mozilla prüft eine Seite auf die gängigen Schwachstellen und gibt Tipps zur Optimierung. Unsesr Ziel ist es, jede Seite soweit wie möglich zu optimieren und abzusichern.

Penetration Testing

Cross-Site-Scripting, SQL-Injection, Brute-Force Attacken oder unsichere SSL-Konfigurationen. Die meisten dieser potentiellen Angriffsvektoren lassen sich bereits im Vorfeld durch die folgenden Vorkerungen vermeiden:

  • Sichere Serverkonfiguration (keine Passwordauthentifizierung über SSH, sichere Serverheader, Content-Security-Policies, Monitoring)
  • Einsatz von Tools wie fail2ban um Bruteforce-Angriffe abzuwehren
  • Sichere Konfiguration von SSL Verbindungen (Browser zu Server)
  • Testen von GET Parametern auf mögliche SQL-Injections mit Tools wie sqlmap
  • Testen von GET Parametern auf mögliche XSS Angriffsvekotren mit Tools wie XSStrike
  • Prüfen von Serverkonfigurationen auf mögliche Schwachstellen (z.B. offene Ports, Information Disclosure, falsch konfigurierte Firewall)
  • 2Faktor-Authentifizierungsmechanismen zum Absichern von redaktionellen Zugängen (z.B. TYPO3 Backend oder Nextcloud)