Penetrationstest für eine multinationale Einzelhandelskette

Kunde

Der Kunde ist eine multinationale Einzelhandelskette, welche 12,000+ Geschäfte in mehr als 30 Ländern in Europa, Asien, Afrika und Lateinamerika zählt. Der Kunde spezialisiert sich auf Multi-Format und Multi-Kanal-Dienste, welche von Hypermärkten, Supermärkten, Convenience-Stores, Abholgroßmärkten sowie via E- und M-Commerce bereitgestellt sind. Ab 2015 berichtete der Einzelhändler über €100 des Umsatzes.

Aufgabe

Der Kunde plante, mehrere Web-Applikationen zu starten, um digitale Kundenerfahrung in einer der regionalen Niederlassungen zu verbessern. Da die neuen Applikationen die persönlichen Informationen des Kunden bearbeiten mussten, entschied der Kunde, Penetrationstest durchzuführen, um die Sicherheitsebene der Applikationen vor der Freigabe auf den Markt zu bewerten.

Lösung

ScienceSoft’s Penetrationstesters mit der Erfahrung in der Analyse der Sicherheit der korporativen Web-Ressourcen nahmen diese Aufgabe an. Um eine umfassende Liste der bestehenden Anfälligkeiten zu liefern, schlug ScienceSoft vor, Penetrationstest nicht nur für die ursprünglich angeforderten Web-Anwendungen durchzuführen, sondern auch für die Webseite, mit welcher diese Applikationen zusammenwirken, um zu sehen, ob die potentiellen Intruders den Zugang zum Netzwerk des Kunden erhalten können.

ScienceSoft’s Team führte Sicherheitskontrolle in Übereinstimmung mit dem Black-Box-Modell durch, welches die Testers macht, das Eindringen in das Netzwerk des Kunden nur mit dem Internet-Zugang zu simulieren und technische Angriffe ohne die Nutzung von Social Engineering auszuführen.

Mittels der OWASP TOP 10 Methodologie, welche die gefährlichsten Sicherheitslücken der Web-Applikationen umfasst, prüften unsere Pentesters, ob die Web-Applikation und die Webseite des Kunden gegen SQL-Injektionen resistent sind, ob es die Lücken in der Authentifizierung oder Session-Management-Funktionen gibt, und bewerteten, ob es möglich ist, den Zugang zu persönlichen Daten des Kunden oder beliebigen Sicherungen dieser Daten zu erhalten.

Die Hauptaufmerksamkeit wurde der Web-Ressourcen-Sicherung gegen Cross-Site-Scripting (XSS), der Möglichkeit, Accounts der Nutzer zu stehlen und dem Vorhandensein von Sicherheitskonfigurationen, welche zum Leck der persönlichen Daten führen könnten, gelenkt. ScienceSoft untersuchte auch die Möglichkeiten für:

  • Den Einbruch der Zeugnisse der Accounts von Administrator oder Nutzer 
  • Entwendung von User-Cookies und die Umleitung von Nutzern auf die anderen Webseiten, die Schadprogramme enthalten
  • Die Nutzung von Clickjacking (der Versuch, Web-Nutzer zu täuschen, wobei man auf etwas klickt, was sich davon unterscheidet, auf was sie denken, sie klicken)
  • Ausführung der Man-in-the-Middle-Angriffe (die Angriffe, in welchen der Angreifer die Nachrichten unter zwei Seiten, die glauben, sie kommunizieren direkt miteinander, heimlich abwehrt und weitergibt)
  • Nutzung eines DNS-Servers für DdoS-Angriffe

Im allgemeinen zeigten die getesteten Web-Ressourcen hohes Schutzniveau gegen Angriffe verschiedener Komplexität. Allerdings offenbarte ScienceSoft eine Reihe der Schwachstellen, die es den Hackers ermöglichen, die Kontrolle über das System zu erhalten, falls diese Schwachstellen zusammen ausgenutzt werden. Nach der Durchführung von Test bereitete ScienceSoft eine Liste der Empfehlungen über die optimalen Wege, diese Schwachstellen zu korrigieren und das Risiko einer echten Intrusion zu reduzieren, vor.

Ergebnisse

Der durchgeführte Penetrationstest ermöglichte es dem Kunden, einen detaillierten Überblick der bestehenden Schwachstellen in seinen Web-Ressourcen zu haben, was potentielle Hackers anziehen könnte, die persönliche Daten stehlen oder dem Unternehmensnetzwerk schaden möchten. Dank der Empfehlungen, die von ScienceSoft-Experten bereitgestellt sind, ist der Kunde jetzt in der Lage, den Schutz seiner Web-Applikationen zu verbessern und neue sichere Dienste einzuführen.

Technologien und Tools

w3af, metasploit, BurpSuite, Qualys online scanner, web-sniffer.net, manualler Softwaretest basierend auf der OWASP TOP10 Methodologie.