unterjährige Penetrations 2FA-Anwendung

Adhoc-Untersuchung für den IT-Service 2FA-Anwendung Der jeweilig zu penetrierende IT-Service soll entsprechend der IS-Penetrationstests und -Webchecks nach Vorgabe des BSI in moderater Weise und dem OWASP Testing Guide (Version 4.0) getestet sowie aufgedeckte Schwachstellen oder Risiken dokumentiert werden. Gefordert ist die Penetrations- und Webchecks sowie ggf. die Interviews in zwei Phasen durchzuführen. Das Einsetzen von Exploits ist in den ersten beiden Phasen nicht vorgesehen - nur, wenn es für die Durchführung des Tests notwendig ist. Es soll eine Anwendung mit dem Zweck der Authentifizierung der Nutzer über Erzeugung und Übertragung eines zweiten Faktors getestet werden. Die Anwendung basiert auf dem Novell AAF und wird in den Novell Access Manager als zusätzlicher Authentifizierungsschritt integriert. Gegenstand des Tests ist hier 1. -Test auf angemessene Absicherung der Anmelde-Anwendung ohne Credentials 2. -die Anmeldung mit Nutzer-Credentials 3. -Erzeugung und Übermittlung des 2FA-Secrets (aktuell via Email) 4. -Anmeldung des Nutzers via Eingabe des 2FA-Secrets 5. -Weiterleitung des Nutzers an die Zielanwendung (Hier: einfache HTML-Landing-Page)