HR4YOU besteht externen Penetrationstest
In regelmäßigen Abständen lässt HR4YOU einen externen Penetrationstest durchführen. Für diese Dienstleistung verlässt sich HR4YOU auf die datenschutz nord GmbH, die mittels automatisierter Scans des Webservers sowie der Webapplikation und einer zusätzlichen manuellen Prüfung nach möglichen Sicherheitslücken sucht.
Prüfaspekte des Webserver-Tests:
- Die Analyse der identifizierten Dienste und Betriebssysteme im Hinblick auf veraltete Software mit bekannten Sicherheitslücken,
- Die Kontrolle der Erreichbarkeit von administrativen Zugängen bzw. Fernwartungszugängen ausgehend von unautorisierten Systemen,
- Brute-Force-Angriffe auf Authentisierungsdienste zur Überprüfung ob Standardzugangsdaten oder triviale Kennwörter genutzt werden,
- Die gezielte Suche nach der Ausgabe von sensiblen Informationen,
- Die Überprüfung der Verschlüsselung und die Angemessenheit der eingesetzten Verschlüsselungsverfahren sowie
- Die Kontrolle, ob die identifizierten Dienste und Anwendungen eine adäquate Zugriffsbeschränkung aufweisen.
Prüfaspekte des Webapplikations-Tests:
- Die Auswertung von Fehlermeldungen im Hinblick auf die Rückgabe von sensiblen Informationen,
- Die Überprüfung der Verschlüsselung und die Angemessenheit der eingesetzten Verschlüsselungsverfahren,
- Die Überprüfung der Art und Qualität der Authentisierung,
- Die Analyse und Manipulation des Session-Managements,
- Die Ausführung von Cross-Site-Scripting (XSS)-Angriffe,
- Die Prüfung von seitenübergreifenden Aufruf-Manipulationen (Cross-Site-Request-Forgery) sowie
- Die Überprüfung für Anfälligkeit auf Injections (SQL-, OS- und Header-Injection), besonders vor dem Hintergrund der automatischen Verarbeitung von eingegangen Bewerbungsunterlagen in verschiedenen Formaten.
Zusätzlich zu den externen Penetrationstests führt HR4YOU auch regelmäßig interne Penetrationstests durch, um Schwachstellen frühzeitig zu identifizieren und zu beheben.