Screenshot der Decidim-Audit-Instanz
Security-Audit für Decidim gestartet
Die Pentesting Abteilung des AIT legt mit ihrem Sicherheitscheck los (12.06.2024)
Förderjahr 2023 / Projekt Call #18 / ProjektID: 6839 / Projekt: Fortify.Decidim

Das mitgestalten Partizipationsbüro richtete die Testumgebung ein, und die Kollegen des Austrian Institute of Technology (AIT) versuchen diese nun zu knacken...

Um sämtliche Sicherheitslücken einer Software identifizieren zu können, müssen für das so genannte Pentesting alle vorhandenen Funktionen aktiviert und zugänglich sein. Wir haben daher eine umfassende Testumgebung mit sämtlichen Funktionen eingerichtet und den Kollegen der Pentesting-Abteilung des AIT zu Verfügung gestellt.

Doch was bedeutet Pentesting eigentlich?

Ein Penetrationstest, kurz Pentest, ist ein empirischer Sicherheitscheck unter definierten Rahmenbedingungen. Dabei werden reale bzw. gängige Mittel und Techniken eingesetzt, die auch von potenziellen Angreifern verwendet werden.Generell erhöht sich die Anzahl der gefundenen Schwachstellen mit dem eingesetzten Aufwand und den verfügbaren Informationen über das zu testende System.

In unserem Projekt werden zuerst maschinelle Tests durchgeführt, um Schwachstellen zu identifizieren. Daraufhin wird der Code der Software von einem auf die Programmiersprache spezialisierten Sicherheitsexperten - einem ethischen Hacker - genauer analysiert. So kann ein umfassendes Urteil über die Sicherheitslage des Systems abgegeben werden.

Der nächste Schritt

In den kommenden Wochen legen wir den Schwerpunkt auf die Benutzerrollen? Können sämtliche Nutzer:innen nur jene Ansichten öffnen und Befehle bedienen, wie im Benutzerrollenkonzept definiert oder gibt es dabei Schwachstellen? Decidim verfügt über zahlreiche unterschiedliche Admin-Rollen, daher ist dieses Thema besonders wichtig.

Das Projektteam ist gespannt auf die Ergebnisse.

 

Romy Grasgruber-Kerl

Profile picture for user Romy Grasgruber-Kerl
partizipationsbuero.at

Skills:

Bürgerbeteiligung, Partizipation, citizen participation,
CAPTCHA
Diese Frage dient der Überprüfung, ob Sie ein menschlicher Besucher sind und um automatisierten SPAM zu verhindern.
    Datenschutzinformation
    Der datenschutzrechtliche Verantwortliche (Internet Privatstiftung Austria - Internet Foundation Austria, Österreich) würde gerne mit folgenden Diensten Ihre personenbezogenen Daten verarbeiten. Zur Personalisierung können Technologien wie Cookies, LocalStorage usw. verwendet werden. Dies ist für die Nutzung der Website nicht notwendig, ermöglicht aber eine noch engere Interaktion mit Ihnen. Falls gewünscht, können Sie Ihre Einwilligung jederzeit via unserer Datenschutzerklärung anpassen oder widerrufen.