Knowledgebase:Sicherheit

From Cloudrexx Development Wiki
Jump to: navigation, search

Intrusion-Detection-System

Angriffe gegen eine Webanwendung können durch die Vermeidung von Sicherheitslücken während der Implementation oder durch den Einsatz von vorgeschalteten Web Applikation Firewalls abgewehrt werden. Contrexx beinhaltet ein eigenes Intrusion-Detection-System auf Applikationsebene, welches die Webanwendung von den folgenden Sicherheitsrisiken schützt:

  • Injection [1]
    • SQL-Injection
    • Pfad - Directory Traversal
    • Code-Execution
    • OS Access
  • Session-Hijacking [2]
  • Cross-Site Scripting (XSS) [3]
  • Cross-Site Request Forgery (CSRF) [4]

PHP Safe Mode

Im Gegensatz zu den meisten Web Content-Management-Systemen wurde Contrexx für den PHP Safe Mode optimiert und läuft deshalb auch auf gemeinsam genutzten Web-Servern sicher.

Datenschutz

Sensitive Daten werden mittels Benutzername, Passwort (geprüfte Komplexität) und CAPTCHA-Schutz geschützt, damit Sie nur von autorisierten Personen freigegeben oder editiert werden können [5][6].

Zur Protokollierung von Störungen wird ein zentralisierter Kanal eingesetzt. Dadurch wird verhindert, dass Fehlerausgaben (Stack-Trace / Umgebungsvariablen) direkt dem Benutzer angezeigt werden [7].

Sicherheit

Kennwörter werden in der Datenbank nicht in Plaintext (Algorithmus MD5-Einweg Hash) abgespeichert [8].

Die eingesetzten Drittherstellerbibliotheken werden periodisch auf die neuste Version aktualisiert, um allfällig bekannte Sicherheitslücken zu schliessen [9].

Das System reinigt alle Anfrageparameter (URL-Modifikatoren) bevor diese wieder ausgegeben werden. Dadurch wird verhindert, dass die Webapplikation als Web-Proxy missbraucht werden kann [10].

Bemerkungen

Das Contrexx Content Management System wurde von Christopher Kunz, einem der Mitbegründer des Hardened-PHP Teams geprüft. Dank seiner Hilfe konnte der Security-Layer von Contrexx optimiert und an die neusten Erkenntnisse angepasst werden.

OWASP

Contrexx ist gegen die Top 10 von Sicherheitsrisiken bei einer Web-Applikation gemäss OWASP Top 10 2013 geschützt.

  1. OWASP Top 10 2013 - A1 Injection
  2. OWASP Top 10 2013 - A2 Broken Authentication and Session Management
  3. OWASP Top 10 2013 - A3 Cross-Site Scripting (XSS)
  4. OWASP Top 10 2013 - A8 Cross-Site Request Forgery (CSRF)
  5. OWASP Top 10 2013 - A4 Insecure Direct Object References
  6. OWASP Top 10 2013 - A7 Missing Function Level Access Contro
  7. OWASP Top 10 2013 - A5 Security Misconfiguration
  8. OWASP Top 10 2013 - A6 Sensitive Data Exposure
  9. OWASP Top 10 2013 - A9 Using Components with Known Vulnerabilities
  10. OWASP Top 10 2013 - A10 Unvalidated Redirects and Forwards

Penetrationtest und weitere Informationen

Retrieved from "https://wiki.cloudrexx.com/index.php?title=Knowledgebase:Sicherheit&oldid=22323"