OMD und BSI Grundschutz

This forum was archived to /woltlab and is now in read-only mode. Please register a new account on our new community platform.

You can create a thread on the new site and link to an archived thread. This archive is available as knowledge base, safe and secured.

More details here.
  • Hi,


    mal ganz was Anderes: hat sich mal jemand mit der Modellierung von OMD im Rahmen eines BSI Grundschutzaudits befasst? Ich stoße auf Fragen, die ich nicht beantworten kann. Hier mal ein Beispiel:


    M 2.363 Schutz gegen SQL-Injection


    Die Prüffragen dazu:


    - Werden Eingaben und Parameter durch die Applikation vor Weiterleitung an das Datenbanksystem sorgfältig überprüft und gefiltert?

    - Werden Stored Procedures beziehungsweise Prepared SQL Statements eingesetzt?

    - Ist gewährleistet, dass keine Fehlermeldungen nach außen ausgeben werden, welche Rückschlüsse auf das verwendete System oder auf die Struktur der dahinterliegenden Datenbank zulassen?


    Und alleine der Baustein "B 5.21 Webanwendungen" umfasst 39 Maßnahmen...


    Mir fehlen also Informationen zur Systemhärtung und Konfiguration.


    Falls jemand dazu schon mal was gemacht hat, wäre ich für Infos sehr dankbar.


    Bis denn


    Thomas

  • In der OMD 2.60 Labs Edition ist aber wohl ein MySQL-Server dabei.


    Aber mir würde ja im ersten Schritt schon reichen, wenn jemand die Bausteine "Webserver" und "Webanwendung" beschrieben hätte;-)

  • Da müsstest du vermutlich jede einzelne Komponente analysieren, und entsprechend die Testfälle abklopfen. Webserver ist meines Wissens nach Apache, Webanwendung gibts derlei viele - Thruk, Multisite, Classic UI, etc.