Keeweb sucht Pentester

[Dennis Plöger]

Hallöchen!

Nach drei German OWASP Days habe mich jetzt auch mal hier angemeldet :). Falls ihr euch fragt, wer ich bin. Ich bin immer der ganz Große gewesen auf den letzten GODs. :D Mehr zu mir gibt's auf meiner Website..

Ich hoffe, dass ich mit meiner Anfrage hier überhaupt richtig bin.

Ich arbeite beim Keeweb-Projekt mit. Keeweb ist eine App für Browser und Desktops (mobile Geräte derzeit noch nicht), die eine Oberfläche für Passwortmanagement auf Basis des Keepass-Standards anbietet und (meine Meinung) sehr sauber zu benutzen ist.

Im Issue 1072 habe ich als Feature Request eingetragen, dass Keeweb mal sauber "gepentestet" und analysiert wird, damit man bei einem so sicherheitskritischen Projekt auch mal eine vernünftige Aussage über die Sicherheit machen kann.

Wie wir ja alle wissen, ist so ein Sicherheitscheck nicht gerade das Günstigste und für ein OS-Projekt nicht zu stemmen.

Weiß jemand von euch, ob es Organisationen gibt, die kostenlose bis günstige, aber seriöse Pentests für OS-Projekte anbieten und die wir dazu mal ansprechen können? Oder, falls nicht, habt ihr eine uuuungefähre Preisvorstellung, was sowas kosten würde, damit man vielleicht einen crowdfunding-Versuch starten könnte?

Danke euch!

Bis denne  

Dennis

[Oliver Heinz]

Pentest oder Code-Review?

Was ist denn in etwa der Umfang des zu testenden Projekts? Lines of Code? Programmiersprache? Funktionsblöcke?

Gruß Oliver

[Dennis Plöger]

Hallo Oliver!

Oh, ich habe Deine Antwort gar nicht als Mail bekommen.

Keeweb basiert zum größten Teil auf Javascript. Ich bin mir gerade nicht sicher, ob die Library, die wir für die Keepass-Unterstützung nutzen, natives Javascript ist. Ansonsten halt HTML und CSS für die Präsentation.

Laut dieser Auswertung haben wir knapp 25k LOC:

https://api.codetabs.com/v1/loc?github=keeweb/keeweb

Funktionsblöcke muss ich noch analysieren. Hast Du da einen Tipp für ein Tool zur Analyse?

Parallel hat sich übrigens auch schon Lara bei mir gemeldet und ihre Unterstützung angekündigt.

Danke im Voraus.

Bis denne
Dennis

[Henrik Willert]

Hallo Dennis,

mir ist bekannt, dass zumindest Cure53 und Hackmanit Pro-Bono Pentests für ausgewählte Free/Libre Open Source Software anbieten.

Bei Hackmanit sind die Kriterien hier gelistet: https://hackmanit.de/de/blog/80-pro-bono-penetration-test

Bei Cure53 kann ich gerade keine öffentliche Seite finden, die Kriterien listet. Vielleicht mal Mario anschreiben: https://cure53.de/

Viele Grüße!

--henrik

--
You received this message because you are subscribed to the Google Groups "Germany chapter" group.
To unsubscribe from this group and stop receiving emails from it, send an email to germany-chapt...@owasp.org.
To view this discussion on the web visit https://groups.google.com/a/owasp.org/d/msgid/germany-chapter/321263a9-b5fc-4dc8-b8a8-6142eaa01f22%40owasp.org.

[dploeg...@gmail.com]

Hi Henrik!

Oh toll! Danke sehr. Das werde ich mir auch mal anschauen. 

Bis denne

Dennis

Am 09.01.2020 um 13:25 schrieb Henrik Willert <henrik....@owasp.org>:



[Dennis Plöger]

Hi!

Hierzu mal ein Update:

Mittlerweile hat Hackmanit Keeweb einem Pro-Bono Pen Test unterzogen. Fazit war: wenige Fehler gefunden, direkt behoben.

Das Team und ich sind sehr glücklich darüber.

Danke nochmal für eure Unterstützung hierzu.

Bis denne 

Dennis