Adobe Experience Manager security assessment automation

Master-Studiengang Information Security

Florian Neumair, BSc

Betreuer: Dipl.-Ing. Daniel Haslinger, BSc

Ausgangslage

Webanwendungen sind zu einem festen Bestandteil des täglichen Lebens geworden, jedoch werden viele dieser Anwendungen mit schwerwiegenden Sicherheits-Schwachstellen eingesetzt, die mit fatalen Folgen ausgenutzt werden können. Sogenannte Web-Vulnerability-Scanner werden häufig eingesetzt, um Schwachstellen in Web-Anwendungen aufzuspüren. Diese Tools werden jedoch in den meisten Fällen sehr generisch umgesetzt, um allgemeine Sicherheitsschwachstellen zu finden. Sie können bei der Suche nach produktspezifischen Schwachstellen lediglich unterstützen, verfügen aber in der Regel nicht über die nötigen Domänen-Kenntnisse, die für einen Angriff auf die betreffende Anwendungsumgebung erforderlich ist.

Ziel

Ziel dieser Arbeit ist festzustellen, welche Web-Vulnerability-Scanner sich im Hinblick auf die Faktoren Erweiterbarkeit, Funktionalität, Authentifizierung, Steuerung und Konnektivität, Abdeckung, Berichterstattung und Softwareentwicklungsprozess-Integrationsfähigkeit am besten eignen um einen Schwachstellen-Scanner zu entwickeln, welcher in der Lage ist produktspezifische Schwachstellen im Adobe Experience Manager zu identifizieren. Basierend auf einer testweisen Implementierung wird die Auswahl evaluiert und bewertet.

Ergebnis

Durch eine testweise Implementierung eines solchen produktspezifischen Schwachstellen-Scanners unter der Verwendung des OWASP ZAP Projekts konnte erfolgreich gezeigt werden, dass dessen Erweiterungssystem sehr einfach in der Lage war die benötigten Tests zu realisieren. Durch die Verwendung von OWASP ZAP als Basis für diese Arbeit wurde gezeigt, wie exakt und schnell eine solche Implementierung sein kann, um die Sicherheitstests einer spezifischen Software zu unterstützen. In Experimenten hat das implementierte Add-On gezeigt, dass selbst bei abgesicherten Systemkonfigurationen in einem so komplexen Setup Fehler die Installation offen für Angriffe machen können und kann dabei helfen, solche Schwachstellen aufzudecken. Aufgrund der guten Integrationsmöglichkeiten in den Softwareentwicklungsprozess und dem hohen Automatisierungsgrad kann die Integration von OWASP ZAP ein frühes Feedback im Softwareentwicklungsprozess geben und ein hohes Maß an Sicherheit im gelieferten Produkt gewährleisten.