Bewertung Sicherheitsscan Internetseite
Moin,
wir haben durch einen Dienstleister eine neue Webseite aufsetzen lassen. Unser Firewallhersteller bietet für Kunden an, einen Schwachstellenscan auf die eigene Webseite laufen zu lassen. Habe ich gemacht, dabei wurden diverse Problematiken gefunden, auch mit hohem Sicherheitsrisiko. Das Ergebnis des Scans habe ich unserem Dienstleister vorgelegt, der behauptet nun allerdings, dass uns daraus keine Probleme erwachsen werden. Bin mir jetzt nicht sicher, was ich damit anfangen soll, da eine Behebung der Schwachstellen natürlich Geld kostet, die ich gern dem Dienstleister aufdrücken möchte. Der sagt allerdings, das wäre nicht so wild, wie im Report dargestellt.
Ich kann das mangels eigener Kenntnisse nicht wirklich beurteilen, vielleicht kann hier jemand etwas Erhellung ins Thema bringen? Macht es evtl. auch Sinn, den Report mal einem professionellen Pentester vorzulegen, um eine Einschätzung zu erhalten?
Als Lücken wurde u.a. folgendes gefunden (hohes Sicherheitsrisiko):
Ist das also etwas, was dringend behoben werden sollte? Die grundsätzliche Funktionalität von XSS ist mir bekannt.
Gruß
wir haben durch einen Dienstleister eine neue Webseite aufsetzen lassen. Unser Firewallhersteller bietet für Kunden an, einen Schwachstellenscan auf die eigene Webseite laufen zu lassen. Habe ich gemacht, dabei wurden diverse Problematiken gefunden, auch mit hohem Sicherheitsrisiko. Das Ergebnis des Scans habe ich unserem Dienstleister vorgelegt, der behauptet nun allerdings, dass uns daraus keine Probleme erwachsen werden. Bin mir jetzt nicht sicher, was ich damit anfangen soll, da eine Behebung der Schwachstellen natürlich Geld kostet, die ich gern dem Dienstleister aufdrücken möchte. Der sagt allerdings, das wäre nicht so wild, wie im Report dargestellt.
Ich kann das mangels eigener Kenntnisse nicht wirklich beurteilen, vielleicht kann hier jemand etwas Erhellung ins Thema bringen? Macht es evtl. auch Sinn, den Report mal einem professionellen Pentester vorzulegen, um eine Einschätzung zu erhalten?
Als Lücken wurde u.a. folgendes gefunden (hohes Sicherheitsrisiko):
Suche - Unser Unternehmen
https://www.homepage.de/suche/
The q parameter was submitted with the value yZP3V; alert(document.domain);//, and the string was echoed verbatim in the output, showing
that there is a reflected XSS vulnerability.
Kontakt - Unser Unternehmen
https://www.homepage.de/kontakt/?
tx_powermail_pi1%5Baction%5D=confirmation&tx_powermail_
pi1%5Bcontroller%5D=Form&cHash=3db9c0d22acd35c3b05b
e1d17a6966b3
The tx_powermail_pi1[field][nachricht] parameter was submitted with the value wxjAM; alert(document.domain);//, and the string was echoed
verbatim in the output, showing that there is a reflected XSS vulnerability.
Ist das also etwas, was dringend behoben werden sollte? Die grundsätzliche Funktionalität von XSS ist mir bekannt.
Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 340739
Url: https://administrator.de/forum/bewertung-sicherheitsscan-internetseite-340739.html
Ausgedruckt am: 04.04.2025 um 07:04 Uhr
27 Kommentare
Neuester Kommentar
Hallo,
ja, sollte behoben werden. ob das euer Dienstleister zu tragen hat ist aber fraglich, klar ist man angehalten Systeme sicher zu machen, auf der anderen Seite ist das immer die Sache mit dem Pflichtenheft - stehts drin? Ists Festpreis oder war der Dienstleister "günstig" ausgewählt?
Nachbessernlassen musst du das aber so oder so, im worst case schreibt dir das Ding sonst deine Seite um.
VG,
Christian
@certifiedit.net
PS: Darfst mir gerne mal die Site schicken, dann check ich die mal durch.
ja, sollte behoben werden. ob das euer Dienstleister zu tragen hat ist aber fraglich, klar ist man angehalten Systeme sicher zu machen, auf der anderen Seite ist das immer die Sache mit dem Pflichtenheft - stehts drin? Ists Festpreis oder war der Dienstleister "günstig" ausgewählt?
Nachbessernlassen musst du das aber so oder so, im worst case schreibt dir das Ding sonst deine Seite um.
VG,
Christian
@certifiedit.net
PS: Darfst mir gerne mal die Site schicken, dann check ich die mal durch.
moin,
hast du deinen Dienstleister auch beauftragt die Webseite sicher zu gestalten? abgesehen davon, es kommen immer neue sicherheitslücken dazu... mal hier... mal dort, die kannst du nicht immer auf den Dienstleister/Webdesigner abladen. abgesehen davon sind die meisten begnadeten Künstler von Sicherheit nicht viel Ahnung haben. Besser ist es mit dem Dienstleister/Webdesigner einen Wartungsvertrag zu machen, und ihn mit einem Sicherheits Dienstleister zusammen arbeiten zu lassen.
Frank
hast du deinen Dienstleister auch beauftragt die Webseite sicher zu gestalten? abgesehen davon, es kommen immer neue sicherheitslücken dazu... mal hier... mal dort, die kannst du nicht immer auf den Dienstleister/Webdesigner abladen. abgesehen davon sind die meisten begnadeten Künstler von Sicherheit nicht viel Ahnung haben. Besser ist es mit dem Dienstleister/Webdesigner einen Wartungsvertrag zu machen, und ihn mit einem Sicherheits Dienstleister zusammen arbeiten zu lassen.
Frank
Hallo,
nein, mit umschreiben der Seite meinte ich tatsächlich alles von Aussehen (wobei jemand dumm wäre, wenn er das tut), bis hin zu Datenabziehen bis hin zu Schadcode/Trojaner über die Seite verbreiten.
Wie gesagt, es kommt auf den Dienstleister an. Webdesigner sind eben oft nur Webdesigner und keine Techniker, wie Frank es auch schon anmerkte.
VG
nein, mit umschreiben der Seite meinte ich tatsächlich alles von Aussehen (wobei jemand dumm wäre, wenn er das tut), bis hin zu Datenabziehen bis hin zu Schadcode/Trojaner über die Seite verbreiten.
Wie gesagt, es kommt auf den Dienstleister an. Webdesigner sind eben oft nur Webdesigner und keine Techniker, wie Frank es auch schon anmerkte.
VG
Zitat von @Coreknabe:
Moin Frank,
Pflegevertrag existiert. In diesem Fall geht es ja darum, ob seitens des Dienstleisters bestehende Best practices nicht eingehalten werden.
Gruß
Moin Frank,
Pflegevertrag existiert. In diesem Fall geht es ja darum, ob seitens des Dienstleisters bestehende Best practices nicht eingehalten werden.
Gruß
Das kannst nur du beantworten. Gibt es BP?
Wikipedia ist aber nicht Vertragsgegenstand (denke ich
Wenn er keine BPs vorgelegt hat in Hinsicht auf Sicherheit/XSS kann das drin sein, muss aber nicht.
Zitat von @Coreknabe:
Moin Frank,
Pflegevertrag existiert. In diesem Fall geht es ja darum, ob seitens des Dienstleisters bestehende Best practices nicht eingehalten werden.
tja da wird es aber nur um Inhalte & Design gehen!Moin Frank,
Pflegevertrag existiert. In diesem Fall geht es ja darum, ob seitens des Dienstleisters bestehende Best practices nicht eingehalten werden.
in der regel weiß der Webdesigner ja nicht mal wie er das beheben kann bzw. was er beheben soll...
Würde sowas der Hoster bemerken, weil z.B. ungewöhnliche Aktivitäten im Netz vorherrschen? Die müssten doch sowas wie ein IPS betreiben?
nein müssen die nicht, es se denn ihr habt es beauftragt... kastet aber ne kleinigkeit. also für 19,50,- netto bekommst du das nicht.Frank
Gruß
Zitat von @Coreknabe:
Moin Frank,
Pflegevertrag existiert. In diesem Fall geht es ja darum, ob seitens des Dienstleisters bestehende Best practices nicht eingehalten werden.
Moin Frank,
Pflegevertrag existiert. In diesem Fall geht es ja darum, ob seitens des Dienstleisters bestehende Best practices nicht eingehalten werden.
Meiner Ansicht nach gehört Input Sanitization zu den Grundlagen des Webdesigns, Das ist spätestens seit "Little Bobby Tables" Allgemeinwissen.
Ich würde da auf Nachbesserung beharren.
lks
Zitat von @Lochkartenstanzer:
Meiner Ansicht nach gehört Input Sanitization zu den Grundlagen des Webdesigns, Das ist spätestens seit "Little Bobby Tables" Allgemeinwissen.
Ich würde da auf Nachbesserung beharren.
lks
Zitat von @Coreknabe:
Moin Frank,
Pflegevertrag existiert. In diesem Fall geht es ja darum, ob seitens des Dienstleisters bestehende Best practices nicht eingehalten werden.
Moin Frank,
Pflegevertrag existiert. In diesem Fall geht es ja darum, ob seitens des Dienstleisters bestehende Best practices nicht eingehalten werden.
Meiner Ansicht nach gehört Input Sanitization zu den Grundlagen des Webdesigns, Das ist spätestens seit "Little Bobby Tables" Allgemeinwissen.
Ich würde da auf Nachbesserung beharren.
lks
Sollte man meinen, aber eigentlich gehört auch eine ordentliche Firewall vor jedes (Business)-Netz, wie viele Fritten siehst du da? Nächstes mal auch auf dies im Pflichtenheft achten. Oder eine entsprechende CMS nehmen.
Zitat von @Vision2015:
das sollst du mal einem Typo3 & Joomla Designer mitteilen... die kommen sofort mit WordPress umme Ecke...
Sanitization zu den Grundlagen des Webdesigns...
der war gut *grins*das sollst du mal einem Typo3 & Joomla Designer mitteilen... die kommen sofort mit WordPress umme Ecke...
Mache ich bei jeder sich bietenden Gelegenheit und führe denen Varianten von Bobby Tables vor, notfalls bis zur "zerstörung" Ihres Werks, um damit ihnen nachhaltig zu zeigen, was sie da verbockt haben.
lks
Ein Pentester wird dir aber auch nichts bringen. Denn hier kommen wir wieder zum Punkt: Wenn du nur eine Fritte bestellst (was oftmals aus Kostengründen wohl so passiert), wirst du auch nur eine Fritte bekommen. Mehr Aufwand, mehr Kosten.
Ich halte von Typo3 relativ wenig, nur am Rande gesprochen, die Zyklen und Bugfixes sind zu lang. Stichwort: Die 8.7.1 ist die LTS und da sind noch nichtmal ansatzweise nützlich viele Module/Plugins implementiert. Wann soll man denn Upgraden - wenn die 9.1 released wurde?
Andersherum gesagt: Wenn Ihr Typo3 gewünscht habt und es tatsächlich Fehler in Typo3 sind (was nochmals ein Punkt gegen das CMS wäre, mich aber auch nicht wundern würde) kann er als Webdesigner, egal ob aus technischem oder designbackground gesehen nichts dafür. Wieder Stichwort Pflichtenheft.
VG
PS: Nur um das Klarzustellen: Ich befürworte weder eine Frittenkonstellation, noch unsichere Websites und investiere für meine Seiten auch einige Zeit um das Sicherzustellen, nur ist es oft genug so, dass "die Website läuft" und die restlichen Features egal sind bzw schlicht nicht bezahlt werden wollen. Dies soll eine Mahnung zum Umdenken sein.
Ich halte von Typo3 relativ wenig, nur am Rande gesprochen, die Zyklen und Bugfixes sind zu lang. Stichwort: Die 8.7.1 ist die LTS und da sind noch nichtmal ansatzweise nützlich viele Module/Plugins implementiert. Wann soll man denn Upgraden - wenn die 9.1 released wurde?
Andersherum gesagt: Wenn Ihr Typo3 gewünscht habt und es tatsächlich Fehler in Typo3 sind (was nochmals ein Punkt gegen das CMS wäre, mich aber auch nicht wundern würde) kann er als Webdesigner, egal ob aus technischem oder designbackground gesehen nichts dafür. Wieder Stichwort Pflichtenheft.
VG
PS: Nur um das Klarzustellen: Ich befürworte weder eine Frittenkonstellation, noch unsichere Websites und investiere für meine Seiten auch einige Zeit um das Sicherzustellen, nur ist es oft genug so, dass "die Website läuft" und die restlichen Features egal sind bzw schlicht nicht bezahlt werden wollen. Dies soll eine Mahnung zum Umdenken sein.
Zitat von @certifiedit.net:
Sollte man meinen, aber eigentlich gehört auch eine ordentliche Firewall vor jedes (Business)-Netz, wie viele Fritten siehst du da? Nächstes mal auch auf dies im Pflichtenheft achten. Oder eine entsprechende CMS nehmen.
Sollte man meinen, aber eigentlich gehört auch eine ordentliche Firewall vor jedes (Business)-Netz, wie viele Fritten siehst du da? Nächstes mal auch auf dies im Pflichtenheft achten. Oder eine entsprechende CMS nehmen.
Naja,
Es ist wie immer die minimierung der Kosten: Was kostet einen ein erfolgreiche Angriff im Verhältnis zu den Kosten der Abwehr solch eines Angriffes und was kann sich die Firma überhaupt leisten. Wenn es nach mir ginge. würde ich jedem zumindest eine ordentliche pfsense (oder gar checkpoint) hinstellen. Aber für manchen Kleinbetrieb wäre das eine Investition, die in keinem Verhältnis zu dem Nutzen steht, vor allem, wenn man die Pflege ernst nimmt. Und von den Anforderungen reicht denen oft wirklich eine Fritzbox.
lks
Zitat von @Lochkartenstanzer:
Naja,
Es ist wi immer die minimierung der Kosten: Was kostet einen ein erfolgreiche Angriff im Verhältnis zu den Kosten der Abwehr solch eines Angriffes und was kann sich die Firma überhaupt leisten. Wenn es nach mir ginge. würde ich jedem zumindest eine ordentliche pfsense (oder gar checkpoint) hinstellen. Aber für manchen Kleinbetrieb wäre das eine Investition, die in keinem Verhältnis zu dem Nutzen steht, vor allem, wenn man die Pflege ernst nimmt. Und von den Anforderungen reicht denen oft wirklich eine Fritzbox.
lks
Zitat von @certifiedit.net:
Sollte man meinen, aber eigentlich gehört auch eine ordentliche Firewall vor jedes (Business)-Netz, wie viele Fritten siehst du da? Nächstes mal auch auf dies im Pflichtenheft achten. Oder eine entsprechende CMS nehmen.
Sollte man meinen, aber eigentlich gehört auch eine ordentliche Firewall vor jedes (Business)-Netz, wie viele Fritten siehst du da? Nächstes mal auch auf dies im Pflichtenheft achten. Oder eine entsprechende CMS nehmen.
Naja,
Es ist wi immer die minimierung der Kosten: Was kostet einen ein erfolgreiche Angriff im Verhältnis zu den Kosten der Abwehr solch eines Angriffes und was kann sich die Firma überhaupt leisten. Wenn es nach mir ginge. würde ich jedem zumindest eine ordentliche pfsense (oder gar checkpoint) hinstellen. Aber für manchen Kleinbetrieb wäre das eine Investition, die in keinem Verhältnis zu dem Nutzen steht, vor allem, wenn man die Pflege ernst nimmt. Und von den Anforderungen reicht denen oft wirklich eine Fritzbox.
lks
Ist der Betrieb erst ruiniert kann man gerne darüber spekulieren. Aber das dachten sich die bei Verelox? wohl auch. Wie im anderen Beitrag in Hinsicht auf die Kundendaten, als ich mitbekommen habe, dass auf meines örtlichen Hausarzt PCs Viren gefunden wurden habe ich diesen flux ausgetauscht. Geht eben nicht. Auf der anderen Seite muss man sich die Arbeitserleichterung vor Augen führen, da ist die ordentliche Pflege eigentlich(!) mit drin.
@ot: Klar, Immer, wir haben weder Details zu deiner Seite, noch zu den Umständen des Vertrags. Also bleibt dir eigentlich nur das direkte Gespräch. Es scheiden sich die Geister. Klar ist nur, das, was du forderst stand nicht in der Ausschreibung.
Je nach dem, kommt auch gerne auf die Einstellung zur IT an.
Aber du hast die Sichtweisen gehört, schliessen wir es ab.
Schönen Tag noch
Je nach dem, kommt auch gerne auf die Einstellung zur IT an.
Aber du hast die Sichtweisen gehört, schliessen wir es ab.
Schönen Tag noch
Hallo
Sorry aber du solltest dich mal wieder mit Typo3 auseinander Setzten. Auch die Version 7 ist noch im LTS und wird mit Sicherheitsupdates regulär gewartet
Die Version 8 ist grad erst mal seit 2-3 Monaten LTS. 8.0 - 8.6 waren alle nicht LTS
Die Zyklen haben sich grundlegen Geändert.
https://typo3.org/typo3-cms/roadmap/
Zum Thema,
Power-Mail ist meiner Meinung mach einer der besser gewarteten Plugin's ich würd mal die Version überprüfen aktuell ist 3.19.0
Zitat von @certifiedit.net:
Ich halte von Typo3 relativ wenig, nur am Rande gesprochen, die Zyklen und Bugfixes sind zu lang. Stichwort: Die 8.7.1 ist die LTS und da sind noch nichtmal ansatzweise nützlich viele Module/Plugins implementiert. Wann soll man denn Upgraden - wenn die 9.1 released wurde?
Ich halte von Typo3 relativ wenig, nur am Rande gesprochen, die Zyklen und Bugfixes sind zu lang. Stichwort: Die 8.7.1 ist die LTS und da sind noch nichtmal ansatzweise nützlich viele Module/Plugins implementiert. Wann soll man denn Upgraden - wenn die 9.1 released wurde?
Sorry aber du solltest dich mal wieder mit Typo3 auseinander Setzten. Auch die Version 7 ist noch im LTS und wird mit Sicherheitsupdates regulär gewartet
Die Version 8 ist grad erst mal seit 2-3 Monaten LTS. 8.0 - 8.6 waren alle nicht LTS
Die Zyklen haben sich grundlegen Geändert.
https://typo3.org/typo3-cms/roadmap/
Zum Thema,
Power-Mail ist meiner Meinung mach einer der besser gewarteten Plugin's ich würd mal die Version überprüfen aktuell ist 3.19.0
Richtig, aber wenn er sagt, dass es alles Standardmodule sind und im weiteren Verlauf hat sich herausgestellt, dass Typo3 eben nicht so fein programmiert ist.
Kurze Google Suche:
Besagt auch schon einiges. Da bringt es mir nichts, wenn die Version 7.6 im LTS ist, wenn es solche Mängel gibt.
Richtig, die Zyklen haben sich grundlegend geändert. Also kannst du das Ding erst mit einer Version, die nahe an der nächsten ist (mit neuen Features dann) wenn überhaupt: Stichwort Module tatsächlich einsetzen.
Kurze Google Suche:
Authors: Nicole Cordes, Category: TYPO3 CMS February 28, 2017. It has been discovered, that TYPO3 is vulnerable to Cross-Site Scripting.
Besagt auch schon einiges. Da bringt es mir nichts, wenn die Version 7.6 im LTS ist, wenn es solche Mängel gibt.
Richtig, die Zyklen haben sich grundlegend geändert. Also kannst du das Ding erst mit einer Version, die nahe an der nächsten ist (mit neuen Features dann) wenn überhaupt: Stichwort Module tatsächlich einsetzen.
Zitat von @certifiedit.net:
Richtig, aber wenn er sagt, dass es alles Standardmodule sind und im weiteren Verlauf hat sich herausgestellt, dass Typo3 eben nicht so fein programmiert ist.
Kurze Google Suche:
Besagt auch schon einiges. Da bringt es mir nichts, wenn die Version 7.6 im LTS ist, wenn es solche Mängel gibt.
Das ist doch mit Version 7.6.16 gefixt worden.Richtig, aber wenn er sagt, dass es alles Standardmodule sind und im weiteren Verlauf hat sich herausgestellt, dass Typo3 eben nicht so fein programmiert ist.
Kurze Google Suche:
Authors: Nicole Cordes, Category: TYPO3 CMS February 28, 2017. It has been discovered, that TYPO3 is vulnerable to Cross-Site Scripting.
Besagt auch schon einiges. Da bringt es mir nichts, wenn die Version 7.6 im LTS ist, wenn es solche Mängel gibt.
https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-cor ...
Du kannst wenn du willst genug Fehler zu. Joomla, Wordpress und allen anderen CMS Lösungen raus suchen wenn du willst.
Wichtig ist das für so System Zeitnah Korrekturen bereitgestellt werden und das diese, was das Problem vom TO ist, auch zeitnah eingespielt werden. Bei Typo3 ist das nicht der große aufwand kostet aber auch Zeit und muss auch getestet werden.