Einleitung

In dieser Case Study berichten wir über einen umfassenden Penetration Test einer Webapplikation, der im Auftrag eines mittelständischen Unternehmens durchgeführt wurde. Ziel des Tests war es, potenzielle Sicherheitslücken zu identifizieren, ihre Risiken zu bewerten und konkrete Handlungsempfehlungen zur Härtung der Anwendung zu formulieren. Die geprüfte Webapplikation ist ein Online-Portal für die Kundenverwaltung, das sensible Benutzerdaten verarbeitet.

Ausgangslage

Das Unternehmen mit Sitz in der Schweiz beschäftigt rund 1.000 Mitarbeiter und betreibt eine Plattform, die verschiedene Produkte und Dienstleistungen über einen integrierten Onlineshop anbietet. Die Webapplikation dient nicht nur als Verkaufsplattform, sondern auch als API-Backend für mobile Anwendungen.

Das Unternehmen beauftragte uns mit der Durchführung eines Penetration Tests, um mögliche Schwachstellen in der Applikation zu identifizieren. Gemeinsam mit den verantwortlichen IT-Sicherheitsbeauftragten wurde der Testumfang definiert. Der Test erfolgte ausschliesslich auf der Staging-Umgebung, die geringfügige Abweichungen zur produktiven Umgebung aufwies. Sämtliche Tests wurden mit Demo-Daten durchgeführt, um den Schutz realer Kundendaten zu gewährleisten.

Zielsetzung

Die Ziele des Penetration Tests waren:

• Identifikation und Analyse von Sicherheitslücken in der Webapplikation
• Bewertung der identifizierten Risiken und deren Auswirkungen
• Entwicklung von Empfehlungen zur Härtung der Anwendung

Methodik

Für den Test wurde ein Black-Box-Ansatz gewählt, bei dem keine internen Informationen zur Anwendung bereitgestellt wurden. Die Durchführung orientierte sich am OWASP Testing Guide und umfasste die folgenden Schritte:

1. Reconnaissance (Informationsgewinnung)

• Identifikation der eingesetzten Technologien (z. B. CMS, Frameworks, Datenbanken)
• Aufdeckung versteckter Endpunkte und Subdomains
• OSINT-Recherche zur Ermittlung potenzieller Sicherheitslücken
   

2. Scanning & Enumeration

• Port- und Service-Scanning
• Identifikation offener API-Endpunkte
• Directory Enumeration mittels Tools wie Gobuster
   

3. Exploitation & Angriffssimulation

• Durchführung von SQL-Injection-Tests
• Test auf Cross-Site Scripting (XSS) und Cross-Site Request Forgery (CSRF)
• Analyse von Authentifizierungs- und Autorisierungsschwachstellen
• Überprüfung der Sicherheit von Cookies und Tokens
   

4. Post-Exploitation & Privilege Escalation

• Analyse kompromittierter Zugangsdaten
• Versuch der Erlangung höherer Berechtigungen
• Exploitation von Backend-Schwachstellen
   

5. Reporting & Empfehlungen

• Dokumentation aller identifizierten Schwachstellen mit Risikobewertung
• Entwicklung konkreter Handlungsempfehlungen
• Präsentation der Ergebnisse vor dem Entwicklungsteam
   

Ergebnisse & Schwachstellenanalyse

Im Rahmen des Tests wurden mehrere kritische Schwachstellen identifiziert, darunter:

Kritische Schwachstellen

• API-Privilege Escalation: Eine fehlerhafte Berechtigungsverwaltung ermöglichte es einem normalen Benutzer, administrative Rechte zu erlangen und damit Zugriff auf alle Kundendaten zu erhalten.
• Schwachstelle in der Passwort-Reset-Funktion: Eine unsichere Implementierung ermöglichte unautorisierte Passwortänderungen.
• Fehlendes 2FA für den API-Login: Während der reguläre Backend-Login eine Zwei-Faktor-Authentifizierung erforderte, war der API-Login ungeschützt.
• Persistente Sessions: Nach dem Logout wurden Session-Cookies nicht invalidiert, was Session-Hijacking erleichterte.
   

Weitere identifizierte Schwachstellen

• Unzureichende Passwort-Komplexität: Fehlende Richtlinien führten zu schwachen Passwörtern.
• Fehlende Zwei-Faktor-Authentifizierung für Kunden: Kunden-Accounts waren nicht durch Multi-Faktor-Authentifizierung geschützt.
• Unsichere Speicherung von Benutzerdaten: Persönliche Daten wurden unverschlüsselt im Browser-Storage gespeichert.
• Kompromittierte Mitarbeiter-Passwörter: Einige Benutzerpasswörter wurden in bekannten Datenlecks im Darknet gefunden.
• Lange Cookie-Laufzeiten: Backend- und Frontend-Cookies waren unnötig lange gültig, was Angriffsflächen für Session-Fixation-Angriffe eröffnete.
   

Empfohlene Massnahmen

Basierend auf unseren Analysen haben wir dem Unternehmen folgende Massnahmen zur Behebung der identifizierten Schwachstellen empfohlen:

• Einführung strengerer Passwort-Richtlinien und einer Multi-Faktor-Authentifizierung für alle Benutzerkonten.
• Verbesserung der API-Sicherheit durch eine strikte Berechtigungsverwaltung und Authentifizierung.
• Automatische Invalidierung von Sessions nach Logout, um Session-Hijacking zu verhindern.
• Sichere Speicherung von Kundendaten, sodass keine sensiblen Informationen im Browser-Storage verbleiben.
• Regelmässige Überprüfung von Zugangsdaten auf Kompromittierung in bekannten Datenlecks.
   

Fazit

Der durchgeführte Penetration Test hat kritische Sicherheitslücken aufgedeckt, die eine ernsthafte Gefahr für die Vertraulichkeit und Integrität der Kundendaten darstellten. Dank der frühzeitigen Erkennung konnten gezielte Massnahmen implementiert werden, um das Sicherheitsniveau der Webapplikation erheblich zu verbessern.

Wir empfehlen regelmässige Penetration Tests, um neu entstehende Sicherheitsrisiken zu minimieren und langfristig eine robuste IT-Sicherheitsstrategie zu gewährleisten.

Ihre Webapplikation sicher machen? Kontaktieren Sie uns für eine unverbindliche Erstberatung!