Die Grundlage für die Anwendungssicherheit von Evention® bildet der OWASP Application Security Verification Standard (ASVS). OWASP ist eine unabhängige, weltweite Community mit dem Ziel, den Betrieb sicherer Webanwendungen zu unterstützen und entsprechende Instrumente kostenfrei zur Verfügung zu stellen.

Der OWASP Application Security Verification Standard bildet den Rahmen für das Evention® Web-Security-Paket (im Folgenden kurz: E-WSP), welches die folgenden 10 Sicherheitsmaßnahmen beinhaltet:

1. Vermeidung von SQL-Injection
E-WSP eliminiert Injection-Schwachstellen, wie beispielsweise SQL-, OS- oder LDAP-Injection, damit vertrauensunwürdige Daten nicht vom Interpreter als Teil eines Kommandos oder einer Abfrage verarbeitet werden können. Dadurch kann ein potentieller Angreifer Eingabedaten nicht so manipulieren, dass er unerlaubte Kommandos ausführen oder unautorisiert auf Daten zugreifen kann.

2. Verhinderung von Fehlern in der Authentifizierung
E-WSP verhindert die fehlerhafte Implementierung von Anwendungsfunktionen, die im Zusammenhang mit Authentifizierung und Session-Management stehen. Damit ist ausgeschlossen, dass potentielle Angreifer, Passwörter oder Session-Token kompromittieren oder die entsprechenden Schwachstellen so ausnutzen können, dass sie die Identität anderer Benutzer vorübergehend oder dauerhaft annehmen.

3. Vermeidung des Verlustes sensibler Daten
E-WSP schützt alle sensiblen Daten, wie Gastdaten (personenbezogene Informationen) oder Event-Daten (unternehmensbezogene Informationen), mit umfangreichen Sicherheitsmaßnahmen, wie beispielsweise der Verschlüsselung der gespeicherten Daten oder der verschlüsselten Datenübertragung. Dadurch wird verhindert, dass Angreifer Daten auslesen oder modifizieren können.

4. Schutz vor XML External Entities (XXE)
Der sicher konfigurierte XML-Prozessor von Evention® schließt Referenzen auf externe Entitäten innerhalb sämtlicher XML-Dokumente aus. Dadurch können externe Entitäten nicht dazu eingesetzt werden, mittels URI Datei-Handlern interne Dateien oder File-Shares offenzulegen oder interne Port-Scans, Remote-Code-Executions oder Denial-of-Service Angriffe auszuführen.

5. Verhinderung von Fehlern in der Zugriffskontrolle
E-WSP garantiert, dass sämtliche Zugriffsrechte für authentifizierte Nutzer korrekt und durchgängig implementiert sind. Damit können potentielle Angreifer keine Schwachstellen ausnutzen, um auf Funktionen oder Daten zuzugreifen, für die sie keine Zugriffsberechtigung haben. Zugriffe auf Accounts anderer Nutzer sowie auf vertrauliche Daten oder aber die Manipulation von Nutzerdaten, Zugriffsrechten etc. sind grundsätzlich ausgeschlossen.

6. Vermeidung sicherheitsrelevanter Fehlkonfigurationen
E-WSP verhindert die Fehlkonfigurationen von Sicherheitseinstellungen, wie unsichere Standardkonfigurationen, unvollständige oder ad-hoc durchgeführte Konfigurationen, ungeschützte Cloud-Speicher, fehlkonfigurierte HTTP-Header und Fehlerausgaben, die vertrauliche Daten enthalten. Alle Betriebssysteme, Frameworks, Bibliotheken und Anwendungen sind sicher konfiguriert und werden durch permanente Sicherheitspatches auf dem aktuellen Stand der Technik gehalten.

7. Schutz vor Cross-Site Scripting (XSS)
E-WSP vermeidet, dass Evention® nicht vertrauenswürdige Daten entgegennimmt und ohne Validierung oder Umkodierung an den Webbrowser sendet. Weiterhin ist ausgeschlossen, dass HTML- oder JavaScript-Code auf Basis von Nutzereingaben erzeugt wird. Damit wird unterbunden, dass potentielle Angreifer, Scriptcode im Browser des Anwenders ausführen und so die Benutzersitzungen übernehmen, Seiteninhalte verändert anzeigen oder den Benutzer auf bösartige Seiten umleiten können.

8. Verhinderung unsicherer Deserialisierung
E-WSP gewährleistet eine sichere, ausreichend geprüfte Deserialisierungen, um Remote-Code-Execution-Schwachstellen zu blockieren. Sämtliche Angriffsmuster wie Replay-Angriffe, Injections und Erschleichung erweiterter Zugriffsrechte sind ausgeschlossen.

9. Keine Nutzung von Komponenten mit bekannten Schwachstellen
Evention® verwendet ausschließlich sichere Komponenten, Bibliotheken und Frameworks. Damit wird verhindert, dass die umgesetzten Schutzmaßnahmen der Core-Applikation unterlaufen und Angriffe durch die Hintertür ausgeführt werden können.

10. Vermeidung unzureichendes Logging & Monitoring
E-WSP schützt durch ein ausreichendes Logging und Monitoring vor andauernden oder wiederholten Angriffen. Denn viele Studien zeigen, dass die Zeit bis zur Aufdeckung eines Angriffs bei ca. 200 Tagen liegt sowie typischerweise durch Dritte entdeckt wird und nicht durch interne Überwachungs- und Kontrollmaßnahmen.

figure

Ausgewählte Referenzen

Entdecken Sie Evention®

Buchen Sie jetzt Ihren kostenfreien Test-Account

  • Dieses Feld dient zur Validierung und sollte nicht verändert werden.