secureCodeBox logo Powered by OWASP secureCodeBox

Über secureCodeBox as a Service

secureCodeBox as a Service ist eine einfache Web-UI, um einen leichten Zugang zum Ausprobieren der secureCodeBox zu ermöglichen. Die secureCodeBox ist ein auf Kubernetes basierendes System zur Orchestrierung von verschiedensten Security-Scannern. Das bedeutet, dass man für die Installation zwingend ein Kubernetes-Cluster braucht. Da dies allerdings eine recht hohe Hürde ist, nur um die secureCodeBox zu testen, haben wir secureCodeBox as a Service ins Leben gerufen.

Um diese Einstiegshürde zu minimieren und so die secureCodeBox einem breiteren Publikum zugänglich zu machen, betreiben wir das notwendige Kubernetes-Cluster und stellen eine dedizierte Installation der secureCodeBox zur Verfügung. Zudem bietet secureCodeBox as a Service ein einfaches webbasiertes User-Interface an, um mit der secureCodeBox zu interagieren:

Übersicht über die Hauptkomponenten.

Wie läuft ein Scan konkret ab?

Grundsätzlich können mit der secureCodeBox nahezu beliebige Scans auch in Kombination durchgeführt werden. Das setzt allerdings tiefergehende Kenntnisse voraus, um die Scanner zu konfigurieren. Um diesen Schritt zu vereinfachen, bieten wir ein vordefiniertes Scan-Szenario an:

Schematischer Ablauf des Scans.

  1. Man die Domain ein, die man scannen möchte (z.B. "example.com").
  2. Dann wird zunächst ein Sub-Domain-Scan durchgeführt, um alle Hosts zu finden, die unter der Domain erreichbar sind. Hierzu haben wir den Amass-Scanner konfiguriert.
  3. Anschließend wird für jeden gefundenen Host (z.B. "www.example.com", "mail.example.com", "secret.example.com", …) ein sog. Port-Scan durchgeführt. Dieser identifiziert offene Ports und die Dienste (z.B. Webserver, Mailserver, etc.) die auf diesen Ports laufen. Hierzu haben wir den Nmap-Scanner konfiguriert.
  4. Am Ende wird eine Liste aller gefundenen Hosts und deren offenen Ports und Dienste in der Web-UI angezeigt.

Datenschutz und Security

Damit nicht einfach jeder eine beliebige Domain scannen kann, führen wir eine sog. Domain-Validierung durch. D.h. nach der Eingabe der Domain, die gescannt werden soll, muss man einen kryptografisch zufälligen Wert im DNS (Domain Name System) der eingegebenen Domain hinterlegen. Diesen Wert fragen wir vor dem Scan im DNS ab. Dadurch stellen wir sicher, dass die Person, die einen Scan durchführen möchte, administrativer Besitzer der Domain und berechtigt ist, diesen Scan durchzuführen. Näheres hierzu ist in der Nutzungsvereinbarung geregelt.

Grundsätzlich kann aber jeder, der in der Lage ist, die verwendeten Scanner (Amass, Nmap etc.) zu bedienen, den oben beschriebenen Scan auch selbst ohne die secureCodeBox durchführen. Daher ist der Scan und insbesondere auch die Ergebnisseite nicht durch einen Login geschützt. Damit diese Informationen allerdings nicht einfach durch Suchmaschinen gesammelt auffindbar sind, wird für jeden Scan eine zufällige, nicht erratbare URL generiert. Geben Sie daher diese URL nicht weiter, wenn Sie nicht möchten, dass andere einfachen Zugriff auf die Ergebnisse haben.

Ein Scan und die gefundenen Ergebnisse werden für sieben Tage gespeichert und vorgehalten. Danach werden die Daten unwiederbringlich gelöscht! Wir speichern lediglich, welche Domain von welcher IP-Adresse aus gescannt wurde, für maximal drei Jahre, um eventuellen Missbrauchsfällen nachgehen zu können (s. Datenschutz).