Security Sourcecode Reviews
Mit Security Sourcecode Reviews können oftmals weitere Schwachstellen identifiziert werden, die in Penetrationstests nicht auffällig werden.
Selbst innerhalb eines Security Sourcecode Reviews gibt es unterschiedliche Granularitäten: Vom klassischen Standard-„Security Sourcecode Review“, über den „Walk Through“ bis hin zur „Deep inspection“ findet sich faktisch immer die gebotene Methode für den zu untersuchenden Sourcecode.
Auch hat sich oftmals bewährt, einen Security Sourcecode Review als sinnvolle Ergänzung zu einem Penetrationstest durchzuführen.
Analyse und Handlungsempfehlungen
Die msg security advisors orientieren sich bei Web-Applikationen beispielsweise an dem OWASP-Code Review Guide, um die Konfiguration zu überprüfen, nach bekannten problematischen Mustern zu suchen und den Code auf seinen Datenfluss hin zu analysieren. Gefundene Schwachstellen werden, wo möglich, verifiziert, bewertet und in einem Bericht mit entsprechenden Handlungsempfehlungen zusammengefasst.
Zu den Prüfaspekten gehören unter anderem
- Identifizierung der verwendeten Programmiersprache, des Frameworks und der Abhängigkeiten
- Prüfung auf veraltete Abhängigkeiten mit bekannten Schwachstellen
- Überprüfung der Konfiguration auf unsichere Standardwerte, Einstellungen, Klartext-Berechtigungsnachweise und PII (Personally Identifiable Information)
- Identifizierung von Authentifizierungsströmen, Autorisierungsrollen und Autorisierungsmechanismen
- Identifizierung aller Einstiegspunkte für Benutzereingaben
- Überprüfung aller Benutzereingaben zur Codeverarbeitung auf ihre Validierungsmechanismen
- Überprüfung des Codes auf bekannte problematische Muster, wie z.B. unsichere Deserialisierung der vom Benutzer zur Verfügung gestellten Daten
- Überprüfung des Codes auf Verwendung schwacher/unzureichender Kryptographie
- Überprüfung des Codes auf inkonsistente Fehlerbehandlung
