Zusammenfassung Web-Security-Check ZIELSYSTEM für KUNDE (nachfolgend Auftraggeber genannt) von secudor GmbH Werner-von-Siemensstraße 6 Gebäude 9 86159 Augsburg (nachfolgend Auftragnehmer genannt) Zusammenfassung Web-Security-Check Inhalt 1 2 Zusammenfassung ................................................................................................................. 3 1.1 Informationen...................................................................................................................... 3 1.2 Einordnung der Gefährdungsstufe ...................................................................................... 3 1.3 Verteilung der Schwachstellen ............................................................................................ 3 1.4 Performance und Antwortzeiten: ......................................................................................... 3 1.5 Scanverlauf ........................................................................................................................ 4 1.6 Empfehlungen .................................................................................................................... 4 1.7 Berichte .............................................................................................................................. 4 Übersicht Schwachstellen ...................................................................................................... 5 Seite 2 von 5 secudor GmbH Moststraße 7 91799 Langenaltheim Geschäftsführer Telefon +49 9145 839431 Joachim A. Hader Mobil +49 151 53872750 [email protected] www.secudor.de Bank: Postbank IBAN: DE14700100800639075807 BIC: PBNKDEFF UstID: DE298369930 Registergericht: Amtsgericht Ansbach Registernummer: HRB5986 Zusammenfassung Web-Security-Check 1 Zusammenfassung 1.1 Informationen Scan Information Startzeit Endezeit Scan Dauer Profile Server information Responsive Server banner Server OS 15.11.2015 21:00 16.11.2015 17:00 Default Ja Apache/2.4.10 Unknown 1.2 Einordnung der Gefährdungsstufe Threat level Acunetix Threat Level 3 Eine oder mehrere als HOCH einzustufende Schwachstelle wurde durch den Scan entdeckt. Ein Angreifer kann diese Schwachstellen nutzen und das Backend (Datenbank) oder den Internetauftritt kompromittieren. 1.3 Verteilung der Schwachstellen High: Diese Schwachstellen sind sofort zu untersuchen. Ein versierter Angreifer könnte hier ohne große Aufwand Zugriff auf das Backend bekommen oder den Internetauftritt verändern. Aufwand (Zeit, Arbeit) für Angreifer gering. Medium: Diese Schwachstellen können von versierten Angreifern genutzt werden, um Informationen über die Webseite, das Backend und den Datenverkehr zu bekommen. Dies hilft dem Angreifer bei Planungen von Angriffen. Gefundene Schwachstellen 34 High 8 Medium 9 Low Informational 12 5 1.4 Performance und Antwortzeiten: Die Schwachstellenanalyse wurde mit der Analyse-Software „Acunetix Web Vulnerability Scanner 10.0“ und „OWASP ZAP2“ durchgeführt. Anzahl der Anzeige von gleichen Warnungen wurde auf 10 begrenzt (s. 1.5 Scanverlauf). Da es sich um wiederholende Warnungen handelt, sollten auch andere Bereiche des Shop hinsichtlich der Warnung geprüft werden. Der Scan führte zu hoher Auslastung (Prozessor) des Web-Servers, hatte aber keine erkennbaren Einschränkungen für das Web-Frontend. Dies sollte bei nachfolgenden Schwachstellenanalysen beachtet werden. Seite 3 von 5 Zusammenfassung Web-Security-Check 1.5 Scanverlauf Nachfolgend der Bericht über den Verlauf des Web-Security-Scans: 1.6 Empfehlungen Auf Grund der Ergebnisse werden folgende Empfehlungen ausgesprochen. 1.7 Berichte Für die weitere Bearbeitung und Beseitigung der Schwachstellen können weitere Berichte zur Verfügung gestellt werden. Die in den Detail-Berichten aufgeführten Schwachstellen sollten von den Entwicklern bewertet werden. Die Bewertung hat den Zweck, festzustellen ob die Schwachstelle existiert und damit eine Gegenmaßnahme getroffen werden kann oder ob hier keine Schwachstelle vorliegt (false-positiv-Bewertung). Dies ist für nachfolgende Scans von Vorteil und kann die Laufzeit reduzieren. Nachfolgende Scans können auf das Ergebnis referenzieren und Veränderungen darstellen. Seite 4 von 5 Zusammenfassung Web-Security-Check 2 Übersicht Schwachstellen Nachfolgend sind die gefundenen Schwachstellen mit der Einstufung der Kritikalität (Serverity) aufgeführt. Schwachstellen (Gruppierung) CRLF injection/HTTP response splitting Cross site scripting (verified) HTTP parameter pollution PHP allow_url_include enabled PHP register_globals enabled Security vulnerability in MySQL/MariaDB sql/password.c SQL injection Vulnerable Javascript library Application error message Basic authentication over HTTP HTML form without CSRF protection Insecure transition from HTTP to HTTPS in form post PHP allow_url_fopen enabled PHP open_basedir is not set PHP session.use_only_cookies disabled PHP session.use_trans_sid enabled PHPinfo page found Clickjacking: X-Frame-Options header missing Cookie without HttpOnly flag set Cookie without Secure flag set Insecure transition from HTTPS to HTTP in form post Login page password-guessing attack Possible relative path overwrite Possible sensitive directories Possible sensitive files Session Cookie scoped to parent domain Session token in URL Slow response time TRACE method is enabled Broken links Content type is not specified Email address found GHDB Password type input with auto-complete enabled Seite 5 von 5 Severity High High High High High High High High Medium Medium Medium Medium Medium Medium Medium Medium Medium Low Low Low Low Low Low Low Low Low Low Low Low Informational Informational Informational Informational Informational Anzahl 5 6 3 1 1 3 9 1 2 1 7 3 1 1 1 1 2 1 3 3 10 1 10 5 8 1 10 8 1 10 4 10 12 4