PEN-Test/Sicherheitskonzept

PEN-Test/Sicherheitskonzept

Penetration-Test und Erstellung Sicherheitskonzept

Manuelle Schwachstellensuche an einem Server-Cluster (mehrere Mio. Zugriffe pro Tag) welches Befragungsskripte ausliefert. Diese Befragungsskripte werden wiederum in die Web­sei­ten Dritter eingebunden um dort die etwaigen Befragungen durchzuführen.

Zusätzlich wurde ein Sicherheitskonzept für die Konfiguration und den Betrieb der Skript-Server sowie für die Programmierung der Skripte erstellt.

Es wurden folgende Schwachstellen gefunden:

Zugriff auf schützenswerte Informationen der Server- und Netz­werk-Kon­fi­gu­ra­tion. Diese Informationen konnten im wei­teren Verlauf des Pe­ne­tra­tion-Tests für einen erfolgreichen Angriff ge­nutzt werden.
Arbiträrer Zugriff auf das Dateisystem der Server. Um die Schwachstelle auszunutzen wurde in einer Programm-Schleife auf den blockierenden Zufallszahlengenerator des betreffenden Servers zugegriffen. Damit war es möglich eine erfolgreiche DoS-Attacke 1 durchzuführen. Der be­trof­fe­ne Server war innerhalb weniger Sekunden blockiert und dauerhaft nicht mehr erreichbar.
Der Kunde war ein Marktforschungsunternehmen 2 und die Arbeiten wur­den im Juli bis September 2016 durchgeführt. Der Ge­samt­auf­wand be­lief sich auf rund 8 Manntage.
  1. Englisch: Denial of Service, Deutsch: Dienstverweigerung.
  2. Größenklasse: 200 bis 500 Mitarbeiter.

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bear

Pin It on Pinterest

Share This