Analyse einer Webapplikation und der dazugehörigen API-Schnittstelle eines Browser Plugins für Übersetzungen in Content-Management-Systemen:
| Industrie | Digital Services |
|---|---|
| Kunde | I-D Media GmbH |
| Zeitlicher Rahmen | 12/2024 |
| Projekt Standort | München / Köln |
| Herausforderungen und Ziele |
|
| Lösungen & Services | Erbracht wurde eine umfassende Analyse gemäß den OWASP-Kriterien eines in der Entwicklung befindlichen Dienstes. Dieser umfasste neben einer Webseite zur Kundenregistrierung Funktionalitäten für die Abrechnung und zur Generierung von Zugriffstokens für eine technische Schnittstelle sowie die Logik der technischen Schnittstelle selbst. Ziel der Analyse war, Sicherheitslücken zu identifizieren und entsprechende Empfehlungen bereitzustellen, wie diese nach aktuellen Best-Practices behoben werden können. Der Penetrationstest erfolgt in fünf Schritten:
Die Analysen wurden gemäß den OWASP-Kriterien für Webapplikationen und APIs durchgeführt und umfassten unter anderem eine Überprüfung auf: Injektion-Angriffe: Überprüfung auf SQL und Command-Injektion-Schwachstellen, die es Angreifern ermöglichen könnten, über Eingaben in der Webapplikation oder der API eigenen Code auf dem System auszuführen Authentifizierungsfehler: Bewertung der Implementierung von Authentifizierungsschemen und deren Verwaltung, um sicherzustellen, dass Angreifer keine Möglichkeit haben, Identitäten zu übernehmen. Sensible Datenexposition: Untersuchung, ob vertrauliche Daten, wie persönliche Identifikatoren oder Token, während der Übertragung oder auf den Systemen ausreichend gesichert sind. Zugriffskontrollen: Analyse der Effektivität von Autorisierungsmechanismen, um sicherzustellen, dass Benutzer nur auf die ihnen zugewiesenen Ressourcen zugreifen können. Fehlkonfiguration von Sicherheitseinstellungen: Prüfung auf unsachgemäß konfigurierte Sicherheitseinstellungen in der Anwendungssoftware, den Servern, Datenbanken, Frameworks und Plattformen. Rate Limiting und Ressourcenmanagement: Testen der API auf geeignete Maßnahmen zum Rate Limiting und Ressourcenmanagement, um Denial-of-Service (DoS) Angriffe zu verhindern. API-Sicherheit durch Tokens und Header: Untersuchung der Implementierungen von Token-basierten Authentifizierungen wie JWT und die Verwendung von Sicherheitsheadern zum Schutz der Schnittstellen. |
| Kundenvorteile |
|
Über die I-D Media GmbH
Mit Translationstudio von I-D Media übersetzen global agierende Unternehmen auch komplexe Websites - in alle Sprachen der Erde, mit nur einem Klick!
Ob KI-gestützt oder mit führenden Translation Management Systemen (TMS) wie Across, Trados oder XTM sorgt Translationstudio für konsistente Inhalte und entlastet Redakteure von Routinearbeiten.
Das Team aus Köln entwickelt außergewöhnliche digitale Lösungen für internationale Marken und Hidden Champions. Mit Translationstudio bietet I-D Media einheitliche Übersetzungen für die gesamte Digital Experience Plattform. Darüber hinaus integriert Translationstudio diverse weitere 3rd-Party Produkte, wie DAM und PIM, und stellt damit nahtlose Benutzererlebnisse über verschiedene Systeme hinweg sicher: ganz im Sinne einer Composable DXP!
Cybersecurity bei TÜV Rheinland
Seit mehr als 20 Jahren unterstützt das Cybersecurity-Geschäft bei TÜV Rheinland Unternehmen aus zahlreichen Branchen, innovative Technologien sicher zu nutzen. Unsere Beraterinnen und Berater kombinieren ihre Cybersecurity-Expertise mit hohem Branchen-Know-how. Der Ansatz unserer Cybersecurity-Lösungen zielt auf die Kombination von Sicherheit und Datenschutz in einer immer stärker verwundbaren Welt, vernetzter Systeme und Geräte. Hierzu führen die Fachleute unter anderem Cybersecurity-Tests, Prüfungen industrieller Sicherheit sowie Prüfungen zum Datenschutz im Internet der Dinge (IoT) und von Cloud-Infrastrukturen durch. TÜV Rheinland betreibt ein weltweites Netzwerk von mehr als hundert Laboratorien weltweit, in dem für Hersteller, aus einer Hand, alle Tests zu Cyber-Sicherheit und Datenschutz durchgeführt werden können.