„Dein Shop wurde gehackt und du hast es nicht gemerkt“ #eccj17

Heute bin ich beim eCommerceCamp in Jena und gerade habe ein super interessanten Vortrag gehört: „Dein Shop wurde gehackt und du hast es nicht gemerkt„.

Hier ein paar Eindrücke:

Erste Session startet! Dein shop wurde gehackt und du hast es nicht gemerkt! With @ThomasLohner #eccj17 pic.twitter.com/oqJJ9hGOW1

— Matthias Alt (@sd_alt) March 17, 2017

Es ist einfacher Shop neu zu programmieren als bereinigen. #shopsecurity #eccj17 pic.twitter.com/CL539v04NU

— Kristīne Corbus (@e_tester) March 17, 2017

Über Blog Einbruch zu Magento Installation weiter im config file Datenbank Passwort. Tāda! #eccj17 pic.twitter.com/vrZxbCSylf

— Kristīne Corbus (@e_tester) March 17, 2017

Wenn Shop auf Server wird gelöscht und neues Rollout aus git,dann die Stelle wie Hacker kam rein- immer da. #eccj17 pic.twitter.com/ye7uWg8ufD

— Kristīne Corbus (@e_tester) March 17, 2017

#eccj17 #shopsecurity #responsibility #greatresponsibility pic.twitter.com/7g75opDgRn

— Kristīne Corbus (@e_tester) March 17, 2017

Bist Du sicher dass Dein Shop ist nicht gehackt?

Werbung

30daysofsecuritytesting – und nun?

Einige Tage sind seit Beginn der Challenge ins Land gegangen und nach einem starken Beginn hat mich der normale (Projekt-)Wahnsinn nach knapp 10 Tagen eingeholt.

Nichts desto trotz habe ich in dieser Zeit schon einiges gelernt und bei mir ist die Neugier auf mehr geweckt.

Ich werde mich also weiter mit den einzelnen Aufgaben beschäftigen und interessante Erkenntnisse an dieser Stelle posten!

#30daysofsecuritytesting – 8

Aufgabe 8: Use a proxy toll to observe web traffic in web or mobile application

Ich habe mich dafür entschieden Burp Suite an meinen Chrome-Browser anzubinden. Nach dem Installieren von Burp Suite war ich zunächst erstmal erschlagen von den 13 Haupt-Tabs – ja, ich habe nachgezählt ;) – die nach dem Start des Programmes zu sehen sind. Die Konfiguration ging leicht von der Hand, auch weil sich mein neuerworbenes Buch „Hacking im Web“ von Tim Phillipp Schäfers dem Tool, dessen Konfiguration und den meistgenutzten Funktionen auf etwas mehr als 10 Seiten widmet.
Die interessanteste Erkenntnis bei meinem ersten Überflug war der BApp Store – über den Tab „Extender“ zu finden, sind hier meist kostenlose Erweiterungen für Burp Suite verfügbar. Hier kann man beispielsweise Erweiterungen finden zur Anzeige und Analyse von PDF-Dateien, zur Durchführungen von SQL-Injections und vielem mehr.

#30DaysOfSecurityTesting – 7

Aufgabe 7: Learn one or more things about penetration testing

Penetrationtests und die deutsche Gesetzgebung

Mit Penetrationstests befindet man sich auf sehr dünnem Eis, das sollte der Pen-Test von Erfolge gekrönt sein, augenblicklich bricht. Laut deutscher Rechtsprechung sind Penetrationstests nur erlaubt, wenn der Testdurchführende eine eindeutige Befugnis durch den Eigentümer des Testobjekts besitzt (Quelle: Wikipedia).

Der „gute“ Vorsatz – ich will nur helfen und aufzeigen wo Sicherheitslücken sind – schützt in diesem Fall vor Strafe nicht. Den sobald man unberechtigt an Daten gelangt oder durch den Penetrationstest selbst technische Probleme auftreten (z.B. Serverausfall) ist es ein Fall für deutsche Gerichte. Wie ein Penetrationstest durchgeführt werden sollte, darüber hat das Bundesamt für Sicherheit in der Informationstechnik eine Studie erarbeitet, welches sich an Auftraggeber und Beauftragten gleichermaßen richtet – hier zur Studie.

#30DaysOfSecurityTesting – 6

Aufgabe 6: Explore these sites: Google Gruyere; hackyourself first; ticket magpie; the bodgeit store

Wer sich mit security testing beschäftigt, kommt früher oder später an den Punkt, auch mal was praktisch machen zu wollen. Hmm, wirklich probieren, ob es Schwachpunkte am Bankautomaten gibt und es mehr Geld gibt, als auf dem Konto ist oder probieren ob man per SQL Injection über eine Website ein paar Informationen mehr herausbekommt.

Nein, der bessere Weg sind Google Gruyere und Co. Google Gruyere ist eine Webapplikation, die es erlaubt sich im Finden und Beheben von Sicherheitslücken zu trainieren ohne ins Illegale abzurutschen. Es sind verschieden Schwachstellen integriert, die es zu finden und beheben gilt. Hierbei kann sowohl black box hacking (Angriffe von außen, ohne Zugriff auf den Code) als auch white box hacking (Zugriff auf Source-Code und Möglichkeit von manuellen und automatisierten Schwachstellenanalyse) und deren Kombination geübt werden. Google Grueyere kann ebenfalls lokal installiert werden und dann nach Herzenslaune manipuliert werden.

#30DaysOfSecurityTesting – 5

Aufgabe 5: Learn about threat modelling (i.e. like the STRIDE Model)

Threat Modelling, die Bedrohungsanalyse, sollte von Software-Herstellern in der Design-Phase angewendet werden.

Warum?

Nicht erkannte Sicherheitslücken sind eine große Gefahr und zerstören, wenn sie erst im Einsatz der Software erkannt werden, das Vertrauen beim Nutzer. Des Weiteren gilt natürlich auch bei Sicherheitslücken – je später der Fehler erkannt umso teurer die Behebung. Somit sollten in der Designphase, die Datenflüsse des untersuchten Systems ermittelt und in Datenflussdiagrammen (DFDs) visualisiert werden.

Das von Microsoft entwickelte STRIDE Modell hilft nun anhand der DFDs alle möglichen Bedrohungen zu identifizieren. Für jedes Element der DFD ist nun zu analysieren, welcher der Bedrohungen aus dem STRIDE-Modell vorhanden sind:

Spoofing: Vortäuschen einer falschen Identität

Tampering: Verändern von Daten

Repudiation: Abstreiten von Aktionen

Information disclosure: Preisgabe von Informationen

Denial of service: Störung eines Dienstes

Elevation of privileges: unbefugtes Erlangen von Rechten

Viel Arbeit, die sich aber am Ende durch ein angemessenes Sicherheitsniveau und der damit verminderten Angriffsfläche der Software auszahlt.

#30DaysOfSecurityTesting – 4

Aufgabe 4: Learn anything about vulnerability scanning

Yippi die erste Schwachstelle gefunden. :D, aber der Reihe nach.

Unter vulnerability Scanning versteht man laut wikipedia das automatisierte Scannen eines Computers oder Netzwerk nach Schwachstellen mittels eines Programms.

Ich habe mich für die Schwachstellen Scanning auf die besonders für Blogs beliebte Anwendung WordPress entschieden. Hierfür gibt es online die Möglichkeit unter https://hackertarget.com/wordpress-security-scan/ den gewünschten WordPress-Blog zu analysieren. Geprüft wird, ob die WordPress-Version auslesbar ist, die installierten Plugins und weiteres. All diese Informationen werden standardmäßig von WordPress zur Verfügung gestellt, können aber auch Angriffsfläche für Hacker bieten beispielsweise wenn hierdurch ans Licht kommt, das eine veraltete WordPress-Version läuft mit bekannten Sicherheitslücken. Zur Behebung gibt es meist kostenlose Plugins, die jene Schwachstelle beheben und somit einen Angriff erschweren.

Konkret aufgedeckt habe ich in diesem Zuge, das beim analysierten Blog die LoginURL über die default-URL www.meinblog.wordpress.com/wp-login erreichbar ist. Damit hat der Hacker schon die halbe Miete, nun gilt es nur noch das Login ausfindig zu machen. Abhilfe schafft hier ein kleines schlankes Plugin WPS Hide Login und schon ist die Login-Seite nur über eine eigenes festgelegte URL erreichbar und auf der Standardseite /wp-login gibt es nur noch eine 404 zu sehen.

Die gefundene Schwachstelle habe ich natürlich weitergegeben. :)

White Hat Petra ;)

#30DaysOfSecurityTesting – 3

Dritte Aufgabe: Use a security tool – examples: zap or Burpsuite

Ungeschützter Netzverkehr kann auch auf dem Mac Folgen haben. ;)

Deshalb läuft bei mir „Little Snitch“ von der Firma Objective Development Software GmbH (https://www.obdev.at/products/littlesnitch/index-de.html)

Little Snitch – kleine Petze – überwacht die Verbindung zum Internet. Bei jeder ein- und ausgehenden Verbindung kann der Nutzer entscheiden, ob er diese zulässt oder verbietet. Wer möchte kann sich auch einen Netzwerkmonitor einblenden. Dieser zeigt in einem kleinen Fenster laufende Programme und deren aktuelle Verbindungen an.

#30DaysOfSecurityTesting – 2

Zweite Aufgabe: Select and read a book related to security testing

Ich habe mich für „Hacking im Web: Denken Sie wie ein Hacker und schließen Sie die Lücken in Ihrer Webapplikation, bevor diese zum Einfallstor für Angreifer wird“ von Tim Philipp Schäfers entschieden.

Es soll einen guten Einstieg ins Thema geben. Bin schon sehr gespannt. :)

#30DaysOfSecurityTesting – 1

Das Ministry of Testing startet eine Aktion: #30DaysOfSecurityTesting

Wir machen mit und laden alle andere mit zu machen!

Erste Aufgabe: Read a security blog

Hacker stehlen gemeinhin Daten und verkaufen sie gewinnbringend weiter.
Nun kann man umgekehrt die Frage stellen:
Was gebe ich eigentlich (un-)freiwillig von mir an Daten preis und was geschieht dann damit?
Hier ein paar sehr interesante Informationen dazu:
https://www.kuketz-blog.de/datenhaendler-wir-sind-glaesern-datensammler-teil1/#more-465217

 

Wenn Du, mein Leser, kein Security Tester bist und möchtest erstmal verstehen was ist was. Dann kannst Du hier anfangen!