Dette repoet inneholder en fullstendig rapport fra en gjennomført teknisk sikkerhetsrevisjon av Boris Lock Pick’s systemer og infrastruktur.
Revisjonen ble utført av WrathByte Security i perioden 1.–21. november 2024.
📌 Karakter: A – Eksamen ble vurdert til toppkarakter i faget ETH2100 – Etisk hacking og penetrasjonstesting ved Høyskolen Kristiania.
-
Metodikk og fremgangsmåte
- OWASP Top 10 Testing Guide (webapplikasjon)
- CEH Hacking Methodology (system/infrastruktur)
-
Omfang
- Whitebox-test på snapshot av systemet
- Fokus på både webapplikasjon og infrastruktur
-
Funn
- 1 kritisk sårbarhet (SQL Injection)
- Flere høy-risiko funn (Path Traversal, XSS, gjenbruk av passord, utdatert programvare m.m.)
- Middels og lav risiko sårbarheter (TLS 1.0/1.1, manglende CSRF, svake cookies, m.m.)
-
Rapporterte konsekvenser
- Tilgang til databasen
- Overtakelse av brukere
- Potensielt full systemkontroll
-
Anbefalte tiltak
- Oppdatering av programvare og protokoller
- Forbedret passordhåndtering og hashing (bcrypt/PBKDF2)
- Implementering av sikkerhetsheadere (CSP, Anti-CSRF, Anti-Clickjacking)
- Strengere tilgangskontroller og autentisering
- OWASP ZAP
- SQLMap
- Burp Suite
- linpeas.sh
- enum4linux
- Nmap / SSLyze
- Utført en komplett penetrasjonstest med reelle sikkerhetsfunn
- Dokumentert funn med risikovurdering, CVSS-score og utbedringstiltak
- Kombinert OWASP- og CEH-metodikk for helhetlig dekning
- Evne til å presentere funn på en profesjonell og systematisk måte
Dette prosjektet er laget som en del av eksamen i ETH2100 – Etisk hacking og penetrasjonstesting ved Høyskolen Kristiania.
Rapporten er kun til bruk i lærings- og demonstrasjonsøyemed.