OMD und BSI Grundschutz

  • Hi,


    mal ganz was Anderes: hat sich mal jemand mit der Modellierung von OMD im Rahmen eines BSI Grundschutzaudits befasst? Ich stoße auf Fragen, die ich nicht beantworten kann. Hier mal ein Beispiel:


    M 2.363 Schutz gegen SQL-Injection


    Die Prüffragen dazu:


    - Werden Eingaben und Parameter durch die Applikation vor Weiterleitung an das Datenbanksystem sorgfältig überprüft und gefiltert?

    - Werden Stored Procedures beziehungsweise Prepared SQL Statements eingesetzt?

    - Ist gewährleistet, dass keine Fehlermeldungen nach außen ausgeben werden, welche Rückschlüsse auf das verwendete System oder auf die Struktur der dahinterliegenden Datenbank zulassen?


    Und alleine der Baustein "B 5.21 Webanwendungen" umfasst 39 Maßnahmen...


    Mir fehlen also Informationen zur Systemhärtung und Konfiguration.


    Falls jemand dazu schon mal was gemacht hat, wäre ich für Infos sehr dankbar.


    Bis denn


    Thomas

  • In der OMD 2.60 Labs Edition ist aber wohl ein MySQL-Server dabei.


    Aber mir würde ja im ersten Schritt schon reichen, wenn jemand die Bausteine "Webserver" und "Webanwendung" beschrieben hätte;-)

  • Da müsstest du vermutlich jede einzelne Komponente analysieren, und entsprechend die Testfälle abklopfen. Webserver ist meines Wissens nach Apache, Webanwendung gibts derlei viele - Thruk, Multisite, Classic UI, etc.