Die CaT Concepts and Training GmbH ist ein erfahrener Spezialist im Erstellen von E-Learning Contents und berät seine Kunden konzeptionell und strategisch im digitalen Bildungsmanagement. Mit dem auf Corporate-Learning-Anforderungen spezialisierten Lernmanagementsystem "cate" unterstützt CaT große und kleinere Unternehmen in der Organisation ihrer digitalen Bildungslandschaft und ebnet so den Weg zu einer digitalen Aus- und Weiterbildung.
Ziele: Schwachstellen identifizieren, Test der Webanwendungen und IT-Systeme
Das Ziel der Prüfung war die Identifizierung von Schwachstellen innerhalb der Web-Anwendung sowie innerhalb der IT-Systeme, die zum Betrieb eingesetzt werden. Dazu wurden ein externer Penetrationstest sowie ein Web-Penetrationstest durch HiSolutions durchgeführt.
Herausforderungen: Abgrenzung zum ILIAS-Unterbau, Eigenentwicklungen im Fokus
Besonders herausfordernd war die Abgrenzung zum verwendeten Unterbau, der auf der Open-Source-Lernplattform ILIAS basiert, sodass Eigenentwicklungen und genutzte Funktionen im Fokus der Untersuchung standen.
Umsetzung:Offene und flexible Kundenkommunikation, Test vollständig remote durchgeführt, OWASP Top 10 geprüft
Die Umsetzung der durchgeführten Prüfungen verlief reibungslos, was auch der offenen und flexiblen Kommunikation mit dem Kunden geschuldet war. Dabei wurden die Tests vollständig remote durchgeführt. HiSolutions hat im Web-Penetrationstests nach den OWASP Top 10 Schwachstellen für Web-Anwendungen gesucht.
Ergebnis:Schwachstellen mit mittlerer Kritikalität erkannt, konkrete Behebungsempfehlungen genannt
Die Ergebnisse der Penetrationstests wurden in einem Abschlussbericht festgehalten. Es konnten zwei Schwachstellen mit mittlerer Kritikalität durch HiSolutions identifiziert werden, die im Bericht entsprechend detailliert beschrieben wurden. Dabei handelte es sich um eine Schwachstelle, die das Einschleusen von CSV-spezifischen Steuerzeichen erlaubte, eine sogenannte CSV-Injection. Diese erlaubte es einem Angreifer Schadcode zu platzieren, der bei Export zu einer CSV-Datei und anschließendem Export und Öffnen auf dem System des Benutzers ausgeführt wurde. Weiterhin wurde eine Schwachstelle identifiziert, die auf einer unzureichenden Prüfung beim Upload von Dateien basierte, sodass es möglich war beliebige Dateitypen mit beliebigen Inhalt hochzuladen. Zur Behebung dieser Schwachstellen erhielt CaT konkrete Behebungsempfehlungen.
Das sagt unser Kunde:
„Die Zusammenarbeit mit den Kollegen von HiSolutions war von der Projektanbahnung übers Scoping bis zur Nachbesprechung des Berichts professionell und partnerschaftlich. Sowohl unser Kontext als auch unser Testbedarf beim Penetrationstest wurden gut verstanden und fanden sich in der Durchführung des Tests und im Report wieder. Wir freuen uns darauf, beim nächsten Test gemeinsam mit den Kollegen unser System noch sicherer zu machen.“
Richard Klees, Geschäftsführung
Ziele: Schwachstellen identifizieren, Test der Webanwendungen und IT-Systeme
Das Ziel der Prüfung war die Identifizierung von Schwachstellen innerhalb der Web-Anwendung sowie innerhalb der IT-Systeme, die zum Betrieb eingesetzt werden. Dazu wurden ein externer Penetrationstest sowie ein Web-Penetrationstest durch HiSolutions durchgeführt.
Herausforderungen: Abgrenzung zum ILIAS-Unterbau, Eigenentwicklungen im Fokus
Besonders herausfordernd war die Abgrenzung zum verwendeten Unterbau, der auf der Open-Source-Lernplattform ILIAS basiert, sodass Eigenentwicklungen und genutzte Funktionen im Fokus der Untersuchung standen.
Umsetzung:Offene und flexible Kundenkommunikation, Test vollständig remote durchgeführt, OWASP Top 10 geprüft
Die Umsetzung der durchgeführten Prüfungen verlief reibungslos, was auch der offenen und flexiblen Kommunikation mit dem Kunden geschuldet war. Dabei wurden die Tests vollständig remote durchgeführt. HiSolutions hat im Web-Penetrationstests nach den OWASP Top 10 Schwachstellen für Web-Anwendungen gesucht.
Ergebnis:Schwachstellen mit mittlerer Kritikalität erkannt, konkrete Behebungsempfehlungen genannt
Die Ergebnisse der Penetrationstests wurden in einem Abschlussbericht festgehalten. Es konnten zwei Schwachstellen mit mittlerer Kritikalität durch HiSolutions identifiziert werden, die im Bericht entsprechend detailliert beschrieben wurden. Dabei handelte es sich um eine Schwachstelle, die das Einschleusen von CSV-spezifischen Steuerzeichen erlaubte, eine sogenannte CSV-Injection. Diese erlaubte es einem Angreifer Schadcode zu platzieren, der bei Export zu einer CSV-Datei und anschließendem Export und Öffnen auf dem System des Benutzers ausgeführt wurde. Weiterhin wurde eine Schwachstelle identifiziert, die auf einer unzureichenden Prüfung beim Upload von Dateien basierte, sodass es möglich war beliebige Dateitypen mit beliebigen Inhalt hochzuladen. Zur Behebung dieser Schwachstellen erhielt CaT konkrete Behebungsempfehlungen.
Das sagt unser Kunde:
„Die Zusammenarbeit mit den Kollegen von HiSolutions war von der Projektanbahnung übers Scoping bis zur Nachbesprechung des Berichts professionell und partnerschaftlich. Sowohl unser Kontext als auch unser Testbedarf beim Penetrationstest wurden gut verstanden und fanden sich in der Durchführung des Tests und im Report wieder. Wir freuen uns darauf, beim nächsten Test gemeinsam mit den Kollegen unser System noch sicherer zu machen.“
Richard Klees, Geschäftsführung
