Anlage Bericht der SEC Consult über ...Sicherheitstests
Report 101500651 Externe Sicherheitsüberprüfung beA Webanwendung Atos IT Solutions and Services GmbH Durchgeführt von AIJVISOR fO!I YOUR INfO!lMAifON SECtHmY Unternehmensberatung GmbH Version: 1.0 Autor: I. Lorch Verantwortlich: I. Lorch Datum: 18.12.2015 Vertraulichkeitsstufe: Streng vertraulich
/\OVISOR füll YOUR INfORM.l\TtON stctrnnY Report 101500651 - Externe Sicherheitsüberprüfung beA Webanwendung - Atos IT Solutions and Services GmbH Verantwortlich: 1. Lorch Version/Datum: 1.0 / 18.12.2015 Vertraulichkeitsstufe: Streng vertraulich In ha ltsverzeich nis 1 Management Summary ....................................................................................................... 3 1.1 Ergebnisse des Audits ................ „ .. „ ............................ „ ....... „ ...... „ .................. „.„ .............. 3 1.1.1 Impact/ Worst case Szenarien .„„ .. „„ .... „.„ ... „„„„„„„„ .......... „„ ... „ ....... „„ ... „ ... „„.„ ... 3 1.1.2 Technische Risikobewertung .„ ............... „ .................. „ ... „ ...... „ ....... „ ............. „„ .. „ ........ 4 1.2 Empfohlene Maßnahmen „ ....... „.„„ ...................... „ .................... „„ .................... „„ ..... „ ... „ .. 5 1.2.1 Maßnahmen mit unmittelbarem Handlungsbedarf .. „„.„„ ... „„ ... „.„.„ .. „ .... „„„„„„ .... „„„„ 5 1.2.2 Weiterführende Maßnahmen ........ „„ ... „ .................... „ ... „ ...................... „ .... „ ... „ ... „ ....... 5 1.2.3 Notwendige Handlungen im Nachgang der Überprüfung „„„„„„„„„.„„„„„„ .. „.„„„„„ ..... 6 2 Vorgehensweise .................................................................................................................. 7 2.1 Testmethode ........ „„ ...................... „ ...... „.„ .......... „ ... „ ........ „ ..... „„ ........... „ ... „ .................. 7 2.2 Durchgeführte Testklassen ................. „ ... „ ....... „ ....... „ .... „„ ........ „ ............. „ ............ „ .......... 7 2.2.1 Server-Konfiguration ......... „ ... „.„ ....... „ ........................ „ .......... „ ... „ ................ „„ ........ „ .. 7 2.2.2 Patch Level ................... „ ............. „ ....... „ ....................... „ .............................. „ .............. 8 2.2.3 Standard-Software und proprietäre Applikationen „ ..... „„ ..... „„ .. „„ ..... „„ .. „„„ .. „„„„.„„.„ 8 2.3 Umfang und Zeitplan ..................... „ ..... „ ....... „ ............ „ ..... „.„ .... „ ................... „ ............... 11 2.4 Disclaimer .... „ .................... „ ........... „ .................................... „ ..... „ ... „ ............. „ ............... 11 2.5 Einzelrisikobewertung ....... „ ........ „ ........ „ .................................. „ ........ „ ............................. 12 2.6 Gesamtrisikobewertung ....................... „ .......... „„.„ ............ „ ........... „ ................ „ ............... 12 3 Schwachstellenübersicht .........•.....•••.•.............•...•....•....................................................... 13 3.1 Gesamtrisiko pro System.„ ......... „„ ... „„.„ .............. „ ......... „ ........ „ ..................... „ .............. 13 3.2 Einzelrisiken ...... „ ........... „ ...... „.„ ..... „ ...... „ ............................... „ ......... „ ........... „ .............. 13 4 Gefundene Schwachstellenklassen ••........••...••...••.......................................••..••••..••..••...„. 14 4.1 Information Disclosure Schwachstellen„.„.„„„„.„„„„„„„„„„ .. „.„„„ .. „„„.„„„ .. „„„„„„„„. 14 4.2 Cross-Site Scripting / -Tracing Schwachstellen„„„„„„.„„„„„„„„„„„„„„.„„„„„„„„„„.„„„14 5 Detailanalyse..................................................................................................................... 15 5.1 test.bea-brak.de (185.62.147.189) „„„„„ .. „„„„„„„„„„„„„„„„„„„„„„„„„„„.„„„.„„„„„. 15 5.1.1 Allgemein ....................... „ ............................. „ ................. „ .... „ ................... „ ............... 15 5.1.2 Whois Information ........................................................................... „ .............. „ ........... 15 5.1.3 Portscan Ergebnisse ....... „ .... „.„„ ...... „ .... „ ......... „ ........ „ .................................... „ ... „ ... 15 5.1.4 Best Practices: Schutz der Einsatzumgebung der beA Webanwendung „„„„„„„„„„„„.„. 16 5.1.5 Limitiertes nicht-permanentes Cross-Site Scripting„„„„.„.„„.„„„.„„.„„„„„„„„„„„„.„„ 17 5.1.6 Information Disclosure ........... „ ....................... „ ....................... „ .................. „ ............. „ 19 5.1.7 Autorisierungsfehler .„ .................. „.„ ........ „ ........................... „ ................... „ ... „ ....... „. 23 6 Version Histor\' .................................................................................................................. 25 © SEC CONSULT Deutschland Unternehmensberatung GmbH Seite 2 von 25 Ullsteinstraße 118, D-12109 Berlin, Germany
AD\ll50ll ifOR YOUR INfORMßfflON SECUP.!lY Report 101500651 - Externe Sicherheitsüberprüfung beA Webanwendung - Atos IT Solutions and Services GmbH Verantwortlich: I. Lorch Version/Datum: 1.0 / 18.12.2015 Vertraulichkeitsstufe: Streng vertraulich 1 Management Summary Im folgenden Kapitel finden Sie die Ergebnisse des Audits, sowie die von SEC Consult empfohlenen Maßnahmen. 1.1 Ergebnisse des Audits Bei der externen Sicherheitsüberprüfung für das Unternehmen Atos IT Solutions and Services GmbH nach dem Blackbox Ansatz untersuchte SEC Consult die beA Webanwendung sowie dessen Client-Security Komponente und das zugehörige Backend (für die vollständige Auflistung der überprüften Systeme siehe Kap. 2.3). Bei diesem konkreten Projekt wurde ein Timebox-Ansatz zur Ermittlung des Aufwands herangezogen. Dies bedeutet, dass SEC Consult nur die innerhalb der angegebenen Zeit gefundenen Schwachstellen dokumentieren kann. Alle Angriffe wurden aus der Sicht eines Außenstehenden durchgeführt und fanden mit eingeschränktem Wissen (zur Verfügung gestellte Dokumentationen siehe Kapitel 2.3) über interne Strukturen statt Ziel dieser Sicherheitsüberprüfung war es, verschiedene Arten von Schwachstellen, sowie übliche Konfigurationsfehler in der getesteten Software zu identifizieren. Im Verlauf des Audits wurde getestet, ob die Anwendungen in der Lage sind, möglichen Angriffen zu widerstehen. Kapitel 1.2 zeigt dabei die empfohlenen Maßnahmen basierend auf den Ergebnissen des Audits auf. Die Testergebnisse zeigen, dass die beA Webanwendung sowie die Client-Security Komponente und das zugehörige Backend ein hohes Sicherheitsniveau aufweisen. Eine während der Sicherheitsüberprüfung identifizierte Schwachstelle wurde bereits während des Testzeitraums in kürzester Zeit behoben. Kleine Schwachstellen verbleiben u. a. noch im Bereich der Preisgabe von potentiell sensiblen Versionsinformationen der eingesetzten Software der Systeme. 1.1.1 Impact/ Worst Case Szenarien SEC Consult konnte während des Audits einzelne, für Webanwendungen typische Schwachstellen von geringem Risiko identifizieren . • • © SEC CONSULT Deutschland Unternehmensberatung GmbH Seite 3 von 25 Ullsteinstraße 118, D-12109 Berlin, Germany
AO\/ISO!l fOP. YOU!l INfORMAT!ON SECUP.liY Report 101500651 - Externe Sicherheitsüberprüfung beA Webanwendung - Atos IT Solutions and Services GmbH Verantwortlich: 1. Lorch Version/Datum: 1.0 / 18.12.2015 Vertraulichkeitsstufe: Streng vertraulich 1.1.2 Technische Risikobewertung Anhand der Risikoeinschätzung von SEC Consult in fünf Dimensionen ergibt sich folgendes Risikoprofil: Proprietaere Applil:ationen • Proprietäre Applikationen: Hier ist ein /:~~t:: leichter Ausschlag zu verzeichnen. Teile der gefundenen Schwachstellen befinden sich in der proprietären Webanwendung. Patchstand hontlguration • Patchstand: In den Tests konnten keine Schwachstellen gefunden und ausgenutzt werden, die auf nicht eingespielte Sicherheitspatches zurückzuführen sind. • Standardsoftware: In der eingesetzten Standardsoftware wurden keine sicherheitskritischen Fehler gefunden. Standardsoftware Infr astrLj :tur • Konfiguration: Die Konfiguration der Komponenten ist in den meisten Fällen Legende: Bewertung der einzelnen Dimensionen nach einwandfrei. leichte Schulnotensystem (1: geringes Risiko; 5: hohes Risiko) Konfigurationsmängel im verwendeten Applikationsserver wurden festgestellt. • Infrastruktur: Eine Überprüfung der dem System zugrunde liegenden Infrastruktur war nicht Bestandteil des Audits. ~S etgiDt$icl1eif1 tecfinj~~~esam~fSfKfl yo[l ·71$'4•·c(;~ri1JQ)• f:?les zeigt; n::tc~C:: t!lli=l'IMA E!ffek.tive ?chlJt:+maßoahrl'J~n frnpJ~m~ntiert h~t. >• · ·· Disclaimer Dieser Bericht ist streng vertraulich und nur für die interne, vertrauliche Verwendung beim Auftraggeber bestimmt. Der Empfänger verpflichtet sich, für die Geheimhaltung der streng vertraulichen Inhalte im Sinne der Organisation Sorge zu tragen. Der Empfänger übernimmt die Verantwortung für die weitere Verteilung des Dokuments. Bei diesem konkreten Projekt wurde ein Timebox-Ansatz zur Ermittlung des Aufwands herangezogen. Dies bedeutet, dass SEC Consult lediglich innerhalb des vereinbarten Zeitfensters Schwachstellen identifizieren und dokumentieren kann. Aus diesem Grund kann aus der Überprüfung in diesem Projekt keinerlei Anspruch auf Vollständigkeit der in diesem Bericht dokumentierten Sicherheitslücken abgeleitet werden. Des Weiteren stellt die Sicherheitsüberprüfung eine Augenblicksbetrachtung zum Zeitpunkt der Überprüfung dar. Eine Bewertung des zukünftigen Sicherheitsniveaus oder möglicher zukünftigen Risikoschwachstellen kann davon nicht abgeleitet werden. Im Zuge des Audits wurden auf Systemen des Auftraggebers im Scope, falls erforderlich, lokale Dateien erstellt (z.B. temporäre Dateien, Log-Dateien, oder vom Auftragnehmer hochgeladene Programme zur Ausnutzung von etwaigen Schwachstellen). Dies geschieht, falls erforderlich, entweder manuell oder automatisiert durch Schwachstellenscanner. Diese Dateien wurden nach dem Audit soweit dem Auftragnehmer möglich entfernt. Eine vollständige Entfernung ist jedoch bedingt durch das Vorgehen in einem Sicherheitsaudit (z.B. fehlender Systemzugriff oder keine ausreichenden Rechte) nicht immer möglich. Es können daher ausgewählte dieser lokalen Dateien auch nach Beendigung des Auftrags vorhanden sein, die bei Bedarf vom Auftraggeber selbst zu entfernen sind. © SEC CONSULT Deutschland Unternehmensberatung GmbH Seite 4 von 25 Ullsteinstraße 118, D-12109 Berlin, Germany
ADVISOR fO!l YOVR INl'ORMAHON StCllllliY Report 101500651 - Externe Sicherheitsüberprüfung beA Webanwendung - Atos IT Solutions and Services GmbH Verantwortlich: I. Lorch Version/Datum: 1.0 / 18.12.2015 Vertraulichkeitsstufe: Streng vertraulich 1.2 Empfohlene Maßnahmen Aufgrund der Ergebnisse der Sicherheitsüberprüfung hat SEC Consult folgende Maßnahmen als sinnvoll eingestuft. 1.2.1 Maßnahmen mit unmittelbarem Handlungsbedarf 1. Behebung der in diesem Report aufgezeigten Sicherheitslücken. Im Rahmen der Sicherheitsüberprüfung wurden mehrere Schwachstellen gefunden. Diese Schwachstellen sollten ehestmöglich behoben werden. Lösungsansätze für die einzelnen Lücken finden sich am Ende der jeweiligen Detailbeschreibung. Die Spezialisten von SEC Consult stehen Ihnen diesbezüglich gerne telefonisch oder vor Ort und 11 Hands on" im Zuge unserer „Care and Repair" - Services zur Verfügung. 1.2.2 Weiterführende Maßnahmen 1. Abnahme Tests bei Eigenentwicklungen. Jedes System sollte vor Produktivsetzung einer Sicherheitsüberprüfung unterzogen werden, die vom Umfang so gewählt werden sollte, dass kritische Applikationen gründlicher überprüft werden als weniger kritische. Da bei selbstentwickelten Applikationen der Source Code zur Verfügung steht, empfehlen sich für kritische Applikationen Glassbox Test bzw. Source Code Reviews. Durch die Durchführung vor Produktivsetzung wird das Risiko drastisch reduziert und eventuelle Down-Times vermieden. 2. Zyklische externe Sicherheitsüberprüfungen. Im laufe der Zeit werden immer neue Schwachstellen und Angriffsvektoren bekannt auf die proprietäre Software nicht überprüft wurde. Eine zyklische Durchführung von externen Sicherheitsüberprüfungen kann auf mittlere Sicht das hohe Sicherheitsniveau einer Anwendung halten. 3. Überprüfung der in diesem Test nicht berücksichtigten Systeme. Die Sicherheit des Gesamtsystems ist in vielen Fällen vom schwächsten Glied abhängig. Selbst ein Server, der als nicht kritisch eingestuft wird, kann es einem Angreifer beispielsweise ermöglichen, über die Firewall hinwegzukommen und andere Systeme von intern zu attackieren. Daher ist es sinnvoll, in regelmäßigen Abständen den gesamten IP Range des Unternehmens zu testen. 4. Source Code Audit von kritischen Applikationen. Besonders kritische Applikationen, die beispielsweise wichtige Informationen verwalten, können mittels eines Source Code Audits besonders detailliert überprüft werden. So können auch Schwachstellen gefunden werden, die in einem Blackbox-Audit nur schwer zu finden sind. 5. Stresstest der IT Infrastruktur und Applikationen zur Vorbeugung gegen (D}DoS Attacken. Denial of Service bzw. Distributed Denial of Service Attacken können massive Schäden für Unternehmen verursachen. Mit Hilfe von Stresstests kann festgestellt werden, ob die Infrastruktur bzw. die Anwendungen solchen Angriffen standhalten können und ob die etablierten Prozesse für DoS Attacken funktionieren. © SEC CONSULT Deutschland Unternehmensberatung GmbH Seite 5 von 25 Ullsteinstraße 118, D-12109 Berlin, Germany
AOVISOR fO!l YOUR IN!ORMMION 5ECUAllY Report 101500651 - Externe Sicherheitsüberprüfung beA Webanwendung - Atos IT Solutions and Services GmbH Verantwortlich: 1. Lorch Version/Datum: 1.0 / 18.12.2015 Vertraulichkeitsstufe: Streng vertraulich 1.2.3 Notwendige Handlungen im Nachgang der Überprüfung 1. Entfernen von Testkonten, welche für die Auditoren erstellt wurden. Um den sicheren Betrieb der Systeme sicherzustellen, empfiehlt SEC Consult nicht mehr benötigte Accounts zu entfernen oder zu deaktivieren. Während der Tests wurden den Auditoren folgende Token zur Verfügung gestellt: Chipkarte test.bea-brak.de beAcard188 Chipkarte test.bea-brak.de beA64card Software-Token test.bea-brak.de Anna Mitarbeiter Software-Token test.bea-brak.de Initial SystemverwalterStaging 2. Entfernen von auditspezifischen Konfigurationsänderungen. Nach Beendigung des Audits empfiehlt SEC Consult alle Test-spezifischen Änderungen wieder rückgängig zu machen. Folgende spezifische Änderungen wurden vorgenommen: • Freischaltung der SEC Consult IP-Range (92.60.14.128/26) © SEC CONSULT Deutschland Unternehmensberatung GmbH Seite 6 von 25 Ullsteinstraße 118, D-12109 Berlin, Germany
AIJVISOR !'Oll YOUR INIORMM!ON 5EClii'ir!Y Report 101500651 - Externe Sicherheitsüberprüfung beA Webanwendung - Atos IT Solutions and Services GmbH Verantwortlich: 1. Lorch Version/Datum: 1.0 / 18.12.2015 Vertraulichkeitsstufe: Streng vertraulich 2 Vorgehensweise Im folgenden Kapitel wird die Vorgehensweise, die SEC Consult bei der Sicherheitsüberprüfung anwendet, erläutert. 2.1 Testmethode SEC Consult führt Penetrationstests durch, um die Sicherheit eines Gesamtsystems oder einzelner Systemkomponenten zu überprüfen. Die Tools, Methoden und Techniken, die von SEC Consult eingesetzt werden, fallen in die folgenden drei Kategorien: 1 Allgemein bekannt in Computer-Security und Hacker Communities 1 2 Von SEC Consult entwickelt, um weitergehende Sicherheit erreichen zu können 3 Einsatz von Spezialisten-Wissen. Automatische Werkzeuge können manche Sicherheitslücken nicht entdecken, sehr wohl aber das geschulte Auge von Spezialisten. Für das Unternehmen Atos IT Solutions and Services GmbH wurde ein Penetrationstest an der externen Webanwendung beA durchgeführt. Dabei überprüfte SEC Consult von außerhalb - also ausschließlich aus dem Internet - ob das System ausreichend geschützt sind, um eventuellen Angriffen widerstehen zu können. Alle Angriffe wurden aus der Sicht eines Außenstehenden durchgeführt und fanden mit eingeschränktem Wissen über interne Strukturen statt (siehe Kapitel 2.3). 2.2 Durchgeführte Testklassen Details zur Risikobewertung können in Kapitel 2.5 nachgelesen werden. Die beA Webanwendung sowie das zugehörige Backend und die Client-Security Anwendung wurden, sofern die Services es erlaubten, auf folgende Fehlerklassen getestet: 2.2.1 Server-Konfiguration 1 Konfiaurationsfehler 1 Ausnutzbare Konfiourationsfehler für verschiedene Arten von Server-Software Angriffsvektor Getestet1 Ausnutzbar2 Enumeration von Server-Inhalten JA NEIN Ausnutzung von Default-Accounts JA NEIN Enumeration von Benutzeraccounts JA NEIN Ausnutzung gefährlicher Protokollfeatures JA NEIN Ausnutzung nicht ausreichend gesetzter Berechtigungen JA NEIN Ausnutzung von ungeschützter Funktionalität JA NEIN Enumeration von Server-internen Informationen JA NEIN sammeln von Informationen über System- oder Fehlermeldungen }t :; "· Erraten von Passwörtern JA NEIN 1 Der Ergebnisbericht enthält gegebenenfalls auch Quellcodeauszüge frei erhältlicher Tools und Exploits von Drittherstellern. © SEC CONSULT Deutschland Unternehmensberatung GmbH Seite 7 von 25 Ullsteinstraße 118, D-12109 Berlin, Germany
/\üVISOR fOil YOUR INfORMAT!ON SECLIAl1'f Report 101500651 - Externe Sicherheitsüberprüfung beA Webanwendung - Atos IT Solutions and Services GmbH Verantwortlich: I. Lorch Version/Datum: 1.0 / 18.12.2015 Vertraulichkeitsstufe: Streng vertraulich 1 Konfiaurationsfehler 1 Ausnutzbare Kontiourationsfehler für verschiedene Arten von Server-Software Angriffsvektor Getestet1 Ausnutzbar2 Mitlesen unverschlüsselter, sensitiver Daten JA NEIN Weitere Angriffsvektoren 1 1 2.2.2 Patch Level Server Patch-Level Diese Schwachstellenklasse bezieht sich auf bekannte Lücken, die mit automatischen Tools identifiziert werden können. Angriffsvektor Getestet1 Ausnutzbar2 Ausnutzung öffentlich bekannter Sicherheitslücken JA NEIN Weitere Angriffsvektoren 1 1 2.2.3 Standard-Software und proprietäre Applikationen 1 Authentisierungsfehler 1 Fehler in der Authentisierung von Benutzern der Anwendung Angriffsvektor Getestet1 Ausnutzbar2 Umgehen der Authentisierung JA NEIN Weitere Angriffsvektoren 1 1 1 Autorisierungsfehler 1 Ein unautorisierter oder unberechtigter Benutzer kann auf geschützte Objekte zugreifen Angriffsvektor Getestet1 Ausnutzbar2 Zugriff auf geschützte Funktionalität JA NEIN Zugriff auf geschützte Ressourcen JA NEIN Weitere Angriffsvektoren 1 1 1 Ausgabe von Informationen 1 Der Angreifer kann interne Informationen über die Anwendung oder die Serverumgebung sammeln Anoriffsvektor Getestet1 Ausnutzbar2 Ausnutzen von Dateiendunosverarbeitunoen JA NEIN Sammeln von Informationen über Entwickler-Kommentare JA NEIN Sammeln von Informationen über System- oder Fehlermeldungen JA NEIN Lesen von Sampledateien oder alten, unreferenzierten Files JA NEIN Weitere Angriffsvektoren 1 1 © SEC CONSULT Deutschland Unternehmensberatung GmbH Seite 8 von 25 Ullsteinstraße 118, D-12109 Berlin, Germany
AlWISOR fOR YOUR !NfORMATION SEClHHH Report 101500651 - Externe Sicherheitsüberprüfung beA Webanwendung - Atos IT Solutions and Services GmbH Verantwortlich: I. Lorch Version/Datum: 1.0 / 18.12.2015 Vertraulichkeitsstufe: Streng vertraulich Interpreter Injection / Eingabe-Validierung Die Anwendung übergibt nicht validierte Parameter an einen Interpreter, gefährliche Library-Funktionen oder OS- APis Angriffsvektor Getestet1 Ausnutzbar2 Zugriff auf das Dateisystem JA NEIN Code Injection JA NEIN Command Injection JA NEIN Format String Injection JA NEIN IMAP/SMTP Injection JA NEIN LDAP Injection JA NEIN ORM Injection JA NEIN Overflowing Character Buffers JA NEIN Path Traversal JA NEIN SQL Injection JA NEIN SSI Injection JA NEIN XML Injection JA NEIN XPath Injection JA NEIN Weitere Angriffsvektoren 1 1 1 State-/ Session-Management-Fehler 1 State- oder Session Status wird von der Anwendung nicht richtig gehandhabt. 1 Angriffsvektor Getestet Ausnutzbar2 Ermittlung von Session-Identifikatoren JA NEIN Ausnutzung von Problemen im State-Management JA NEIN Weitere Angriffsvektoren 1 1 1 Unsichere Funktionalität (Minimalprinzip} 1 Die Applikation bietet Funktionalität, die zu Sicherheitsproblemen führt. Angriffsvektor Getestet1 Ausnutzbar2 Ausnutzung von Sample-Anwendungen JA NEIN Upload beliebiger Files JA NEIN Weitere Angriffsvektoren 1 1 1 Unsicheres Management vertrauenswürdiger Daten 1 Vertrauenswürdige oder interne Daten können vom Angreifer verändert werden. 1 Angriffsvektor 1 Getestet 1 Ausnutzbar2 Manipulation applikationsinterner Daten am Client 1 JA 1 NEIN © SEC CONSULT Deutschland Unternehmensberatung GmbH Seite 9 von 25 Ullsteinstraße 118, D-12109 Berlin, Germany
/!.011150!! fO!l YOUR INHlAr.11\TION 5ECU!ll1Y Report 101500651 - Externe Sicherheitsüberprüfung beA Webanwendung - Atos IT Solutions and Services GmbH Verantwortlich: 1. Lorch Version/Datum: 1.0 / 18.12.2015 Vertraulichkeitsstufe: Streng vertraulich Lesen applikationsinternen oder vertraulicher Daten am Client JA NEIN Weitere Angriffsvektoren 1 1 1 Unsichere Algorithmen 1 Der Einsatz unsicherer Alaorithmen erlaubt die Kompromittierung sensitiver Informationen Anariffsvektor Getestet1 Ausnutzbar2 Ausnutzung schwacher Verschlüsselungsalgorithmen JA NEIN Ausnutzung schwacher Zufallszahlengeneratoren JA NEIN Weitere Angriffsvektoren 1 1 1 Verwundbarkeit durch Denial-of-Service 1 Das Service kann durch den Angreifer unbenutzbar gemacht werden. Angriffsvektor Getestet1 Ausnutzbar2 Aufbrauchen limitiert verfügbarer Ressourcen NEIN NEIN Aussperren von Benutzeraccounts JA NEIN Weitere Angriffsvektoren 1 1 Verwundbarkeit gegenüber dient-seitigen Attacken (Web Browser) Diese Schwachstellenklasse bezieht sich auf Webapplikationen. Benutzer der Anwendung werden zum Ziel dieser Anariffe. Angriffsvektor Getestet1 Ausnutzbar2 Cross-Site Request Forgery (XSRF) JA NEIN HTML Injection / Cross-Site Scripting (XSS) JA NEIN 3 HTTP Response Splitting / header injection JA NEIN Frame Spoofing JA NEIN Session Fixation JA NEIN Weitere Angriffsvektoren 1 1 1Getestet: Der Angriffsvektor wurde in dieser Überprüfung von SEC Consult getestet. 2 Ausnutzbar: Der Angriffsvektor wurde in dieser Überprüfung als ausnutzbare Schwachstelle identifiziert. 3Hier existiert ein theoretischer Angriffsvektor, welcher jedoch aufgrund von Beschränkungen aktuell nicht ausnutzbar ist (siehe Kapitel 5.1.5). © SEC CONSULT Deutschland Unternehmensberatung GmbH Seite 10 von 25 Ullsteinstraße 118, D-12109 Berlin, Germany