Security Scan Webseiten / Internetserver
incl. Erstellung automatisierter Securityberichte
Das Angebot umfasst einen zu überprüfenden (Web-)Server welcher aus dem öffentlichen Netz erreichbar ist.
Schritt 1 - Webseitensicherheit (nur Webserver):
Die erste Analyse erfolgt mit dem Acunetix Security-Analyser mit folgendem Umfang:
- Javascript Analyser (Ajax und Web 2.0 Anwendungen)
- SQL-Injection zum Test unerlaubter Zugriffe auf Datenbanken
- Cross Site Scripting (XSS) zur Überprüfung interaktiver Applikationen einer Web-Seite
- Port Scanning
- Analyse von Flash-Anwendungen
- Test von Formularen
- Test von Passwort-geschützten Seiten
- Remote File Inclusion (Ausführung externer Scripts bzw. Programme)
- Directory Traversal (unerlaubter Zugriff auf Verzeichnisse und Dateien des Servers)
- Überprüfung von HTTP, HTTPS, FTP, IMAP, SQL-Servern, POP3, SSH, TELNET und anderen DNS Services
- Automatische Erkennung und Versionskontrolle verbreiteter Internet-Anwendungen (incl. einzelner Module und Erweiterungen)
- etc.
Schritt 2 - Schwachstellenanalyse:
Eine weitere Sicherheitsüberprüfung Ihres Serversystems erfolgt mit dem Nexpose Schwachstellenscanner mit folgendem Umfang:
- Port-Scanning
- Banner Grabbing
- identifizieren von Sicherheitsbedrohungen wie Schwachstellen, Fehlkonfigurationen und Exploit- und Malware-Exposition
- vollständige Bewertung der gesamten physischen und virtuellen IT-Infrastruktur durch u. a. Netzwerke, Betriebssysteme, Web-Anwendungen und Datenbanken
Der Security-Scanner Nexpose untersucht das Zielsystem auf konkrete Angriffsmöglichkeiten. Nexpose hat dazu in seiner Datenbank alle bekannten Sicherheitslücken verzeichnet, die das ganze Spektrum von CGI-Lücken bis hin zu spezifischen Windows-Schwachstellen abdecken.
Aufpreispflichtige Option:
Ergänzend kann nach der Durchführung der Security Scans mit einem Penetrationstest via Metasploit überprüft werden, ob die gefundenen Schwachstellen für weitere Angriffe nutzbar sind:
- Validierung von identifizierten Bedrohungen, die eine echte Gefahr in Ihrer Umgebung darstellen (via Metasploit)
Der ausführende Prüfer (Thomas Floß) hat in Bezug auf die Aufgabenstellung folgende Zertifizierungen/Ausbildungen:
- zertifizierter Datenschutzbeauftragter nach dem Ulmer Modell (udis)
- TÜV geprüfter Datenschutzbeauftragter
- Teletrust Information Security Professional (T.I.S.P)
- geprüfter EDV-Sachverständiger für Systeme und Anwendungen
- Certified Ethical Hacker (CEH)
- TÜV geprüfter Compliance Officer
- IT-Forensiker
- Certified Information Systems Auditor (CISA)