Wesentliche Herausforderungen
Unser Kunde bietet eine Webanwendung an, die dazu dient, Steuerzahler und Vermittler bei der Erfüllung ihrer DAC6-Meldepflichten (luxemburgisches Steuerrecht) zu unterstützen.
Nachdem wir neue Funktionalitäten entwickelt hatten, bat uns der Kunde, einen Penetrationstest für die Webanwendung durchzuführen, um mögliche Schwachstellen oder Sicherheitslücken in der Anwendung zu identifizieren, bevor die Freigabe für die Produktion erfolgt.
Unser Ansatz
Die Penetrationstests für Webanwendungen wurden vollständig manuell mit einem Grey-Box-Ansatz durchgeführt. Wir haben drei Arten von Accounts mit unterschiedlichen Berechtigungen erhalten (Administrator, Manager, Benutzer). Ziel war es, jede Art von Schwachstelle bei diesen Accounts zu ermitteln.
Unsere Expert*innen orientierten sich an den OWASP Top 10, da sie die kritischsten Sicherheitsschwachstellen von Webanwendungen aufzeigen und somit Richtlinien dafür liefern, was und wie es getestet werden sollte.
Wir folgten der Standardmethodik für Penetrationstests, die in 5 Phasen unterteilt ist:
1. Einstufung
Der Domainname wurde vom Kunden übermittelt.
- IP-Adressen
- Domainname
- Technologien
- Versionen
2. Mapping
Wir haben eine Bestandsaufnahme der Aktionen gemacht, die mit den verschiedenen vom Kunden angegebenen Accounts in der Anwendung durchgeführt werden können.
- Funktionalitäten
- Services
- Beziehung zwischen den Komponenten
3. Discovery
- Schwachstellen
- Sicherheitstechnische Fehlkonfigurationen
- Sicherheitsmängel
4. Missbrauch
- der Schwachstellen
- Fehlkonfigurationen
5. Post-Exploitation
- Informationen
- Passwort
- Vertrauliche Daten
- Entfernen von Spuren
Während der Dauer der Penetrationstests haben wir mit dem Kunden in Echtzeit kommuniziert, um zu überprüfen, dass die von uns identifizierten Schwachstellen tatsächlich Auswirkungen auf die Anwendung hatten. Außerdem wäre der Kunde im Falle der Entdeckung einer kritischen Sicherheitslücke sofort gewarnt worden, um unmittelbar Abhilfe schaffen zu können.
Vorteile
Unsere Penetrationstester arbeiteten 8 Tage lang an der Webanwendung und konnten schnell mehrere Sicherheitslücken aufdecken, von denen einige in den OWASP Top 10 aufgeführt sind. Es wurden zwei Haupttypen von Schwachstellen ermittelt:
- Fehlerhafte Zugangskontrolle
Eine fehlerhafte Zugangskontrolle liegt vor, wenn ein Benutzer auf eine Ressource zugreifen oder eine Aktion durchführen kann, auf die er/sie nicht zugreifen darf.
- Sicherheitstechnische Fehlkonfigurationen
Fehlkonfigurationen im Bereich der Sicherheit sind dadurch definiert, dass die Sicherheitseinstellungen während des Konfigurationsprozesses oder der Bereitstellung nicht ordnungsgemäß festgelegt werden (Verwendung von Standardkennwörtern, veralteten Protokollen und veralteter Verschlüsselung, Fehlermeldungen, die sensible Informationen offenlegen usw.).
Die Schwachstellen wurden in einem technischen Bericht dokumentiert, der allgemeine und spezifische Empfehlungen zu Abhilfemaßnahmen für alle entdeckten Schwachstellen enthält. Zu den Empfehlungen gehörten: Hinzufügen von Kontrollen im Anwendungs-Backend, um Aktionen gemäß Geschäftsanforderungen auf autorisierte Benutzer zu beschränken, und Optimierung der Sicherheits-Header, um sicherzustellen, dass bewährte Verfahren eingehalten werden.
Es wurde außerdem ein Abschluss-Workshop organisiert, bei dem der Penetrationstester dem Kunden die Schlussfolgerungen aus dem Bericht vorstellte und seine Fragen beantwortete, um ihn bei der Behebung der entdeckten Schwachstellen zu unterstützen.
Der Kunde wurde darauf aufmerksam gemacht, dass seine Anwendung einige Sicherheitslücken aufwies, die dank des Penetrationstests schnell behoben werden konnten. Außerdem konnte der Kunde mit Hilfe allgemeiner Sicherheitsempfehlungen die Sicherheit seiner Plattform noch weiter verbessern. Unsere Expert*innen erteilten ein Vertrauenssiegel für das Produkt und seine neuen Funktionen, das es dem Kunden ermöglicht, seine Anwendungslizenzen beim Verkauf in der Zukunft aufzuwerten.