Zend - The PHP Company


Zend-Services-Loby-page-banner

    Zend Security Audit

    Das Security Audit folgt einer umfassenden Methodologie, die über die Jahre anhand von Erfahrungen in der Analyse von Sicherheitsanfälligkeiten in Bezug auf Web, PHP und Applikationen entwickelt wurde. Das Audit liefert eine ausführliche Evaluierung Ihres PHP-Code auf Sicherheitsanfälligkeiten, unsichere Programmierpraktiken und Schutz gegen ein breites Spektrum an bekannten Angriffstechniken. Es besteht aus automatisierten und manuellen Penetrationstests, der Identifizierung von angriffsanfälligen Codemustern und der Überprüfung des Ablaufs der Applikationstransaktionen.

    Herausforderungen in Bezug auf die Sicherheit von Applikationen


    Die durchschnittlichen Kosten einer Datenschutzverletzung haben sich in 2010 auf 7,2 Millionen USD erhöht. Die Kundenabwanderung nach öffentlich bekannt gewordenen Datenschutzverletzungen ist der dominante Faktor, während es lange dauert, Reputationschäden durch Sicherheitslücken zu revidieren. Mit der wachsenden Anzahl an Angriffen und Exploit-Methoden, die häufig auf mehrere Funktionalitäten und Ebenen in einer einzelnen Applikation abzielen, ist es für Unternehmen wichtig, Schwachstellen, die zur Offenlegung vertraulicher Informationen oder der bösartigen Ausführung von unerwünschtem Applikationsverhalten führen können, zu identifizieren. Zends Security Audit bietet eine sorgfältige Risikobeurteilung, die auf den vom Open Web Application Security Project (OWASP) definierten Bedrohungsklassifizierungen basiert, um alle Programmierungsmängel und Sicherheitslücken zu identifizieren. Anschließend werden für die einzelnen, identifizierten Sicherheitsrisiken detaillierte Empfehlungen zu Abhilfemaßnahmen besprochen.



    Das Security Audit beurteilt eine Vielzahl an Sicherheitslücken von Applikationen, wie:

    • Funktionelle Sicherheitslücken
      • PHP-Codeeinbindung und PHP-Codeevaluierung
      • Shell-Ausführung
      • SQL-Injection und HTTP-Header-Injections
    • Schwachstellen in Bezug auf Cross Site Scripting (XSS)
    • Cross Site Request Forgeries (CSRF)
    • Dateiberechtigungen, Zugriffssteuerung und Installation
    • Analyse des Session Managements
      • Schwachstellen im Session Management
      • Session-Fixation und Session-Hijacking
      • Verwendung von sicheren Cookies und HttpOnly-Cookies
    • Externe Schnittstellen – Datenbankzugriff, Webservices, Facebook-API
    • Clientseitige Sicherheitsanfälligkeiten (optional)

     

    Der Zend Security Quick Scan


    Zend bietet zudem einen schnellen Überblick über den Sicherheitsstatus der Applikation, indem er einen Remote-Sicherheits-Quick-Scan durchführt. Der Quick Scan überprüft Ihre Applikation unter Verwendung von automatisierten Tools, um Codierungsmuster zu identifizieren, die zu gängigen Sicherheitsanfälligkeiten führen können.

    Der Quick Scan ist ein Black-Box-Test, bei dem die Security Engineers von Zend typische Techniken imitieren, die von externen Parteien verwendet werden, um die Webapplikation anzugreifen, ohne dass sie auf den zugrunde liegenden Quellcode oder die Infrastruktur selbst zugreifen können oder diesen bzw, diese kennen.

    Der Quick Scan resultiert in einem Dokument, in dem die wichtigsten Sicherheitsanfälligkeiten zusammengefasst sind, die während des Scans identifiziert wurden. Der automatisierte Quick Scan Prozess ist standardmäßiger Teil des umfassenderen Security Audits und kann als vorläufiger Schritt vor dem Ausführen eines vollständigen Codeaudits ausgeführt werden.

    Kundenstimmen

       Die Arbeit mit dem Zend Consultant war eine echte Bereicherung für uns und hat uns viel Spaß gemacht. Wir konnten sehr viel aus den Tagen für uns mitnehmen. Jetzt kann ich auch guten Gewissens Zend Framework 2 für das kommende Projekt bei uns einsetzen.   

    Thorsten RutteDirector Software Development, Spark 5 GmbH

       Der Zend Consultant hat uns dabei geholfen, kurzfristige Zwischentermine mit nur geringer oder gar keiner Betriebsstörung oder -Risiko einzuhalten und unsere langfristigen Ziele für die Webseiten-Performance und -verfügbarkeit zu erreichen.   

    Fred Schmidt Manager, Applications Development, VR Systems, Inc.

       Ich wollte nur sagen, wie sehr ich den Stil des Consultant genossen und geschätzt habe, und die Zeit, die wir alle zusammen verbracht haben, es war ein exzellenter Start in unsere Zukunft mit Zend.    

    Matthew Farey IT Operations Manager, Microlease plc