Unterstützung bei PCI-DSS Compliance Projekten
Der Payment Card Industry Data Security Standard (PCI-DSS bzw. PCI) beinhaltet diverse Anforderungen an Rechnernetze von Kreditkartendaten verarbeitenden Unternehmen. Wir bieten aktuell bei Prüfung des Requirements 6.5 Sicherheit von (Web-)Anwendungen und der Requirements 11.2 und 11.3 (Teile ohne ASV-Bedingung) Unterstützung im Compliance Nachweis an.
Die PCI empfehlen die Einhaltung der "Secure Coding Principles" des Open Web Application Security Project (OWASP) bei der Erstellung von Web-Anwendungen. Darüber hinaus wird gefordert, selbst erstellten Code gezielt nach Schwachstellen zu untersuchen, Für Web-Anwendungen wird auf die OWASP Top 10 verwiesen. In dieser Top 10 sind die am häfigsten auftretenden Schwachstellen-Kategorien zu finden.
Eine Möglichkeit, die bei komplexen Anwendungen erheblich schneller durchzuführen ist als ein vollständiger Code-Review, ist der Test der Web-Anwendung aus Sicht eines externen Angreifers auf die in den OWASP Top 10 veröffentlichten Schwachstellen-Kategorien. Mittlerweile gibt es die OWASP Top 10 in 2 Versionen, einmal aus dem Jahr 2004 (Verweis in PCI-DSS Version 1.1), als auch aus dem Jahr 2007. Ein Teil der Forderungen ist nicht mit Hilfe eines Angriffs prüfbar, sondern in Form von Interviews mit Entwicklern und Prüfung einzelner Elemente im Code.
Obwohl (noch) nicht gefordert, empfiehlt es sich aus unserer Sicht beide OWASP Top 10 zu prüfen, da der Prüfaufwand aufgrund des recht hohen Deckungsgrads zwischen den beiden Versionen nicht erheblich steigt und somit auch aktuellere Schwachstellen gefunden werden können.
Die folgende Tabelle fast die Anforderungen aus den Jahren 2004 und 2007 zusammen. In der letzten Spalte wird angegeben, ob es sich um eine rein (t)echnisch prüfbare Schwachstellen-Kategorie handelt, oder ob (i)nterviewbasierte Prüfungen erforderlich sind.
| Jahr, ID | Bezeichnung | Prüfart |
|---|---|---|
| 2004, A5 | Buffer Overflow | t |
| 2004, A9 | Application Denial of Service | t |
| 2004, A10 | Insecure Configuration Management | t/i |
| 2007, A1 | Cross Site Scripting (XSS) | t |
| 2007, A2 | Injection Flaws | t |
| 2007, A3 | Malicious File Execution | t |
| 2007, A4 | Insecure Direct Object Reference | t |
| 2007, A5 | Cross Site Request Forgery (CSRF) | t |
| 2007, A6 | Information Leakage and Improper Error Handling | t/i |
| 2007, A7 | Broken Authentication and Session Management | t |
| 2007, A8 | Insecure Cryptographic Storage | t |
| 2007, A9 | Insecure Communications | t/i |
| 2007, A10 | Failure to Restrict URL Access | t |
Die Tests werden mit Hilfe des für OWASP und PCI-DSS Prüfungen geeigneten Scanners Acunetix durchgeführt und mit manuellen Prüfungen und Abdeckung der interviewbasierten Tests abgerundet.
Alternativ kann die Prüfung entlang des Quell-Codes Ihrer Anwendung erfolgen, der in Teilen oder Gänze dem Tester zur Verfügung gestellt wird. Mit Hilfe von Tools und jahrelanger Expertise wird der Quelltext entlang einer etablierten Methodik auf Schwachstellen untersucht.