Sicherheitslücken mittels Pentestern und White-Hat-Hackern identifizieren

Lesezeit
2 Minuten
Bis jetzt gelesen

Sicherheitslücken mittels Pentestern und White-Hat-Hackern identifizieren

30.06.2021 - 14:00
Veröffentlicht in:
Ebenso unterschiedlich wie die Einsatzszenarien digitaler Werkzeuge in Unternehmen ausfallen, so vielfältig gestalten sich die einhergehenden Sicherheitslücken und Fehlkonfigurationen. Oft ist dies hastig entwickelten Anwendungen oder einem zu schnellen Ausbau der IT-Infrastruktur geschuldet – zuweilen mit der Priorisierung Schnelligkeit vor Sicherheit. White-Hat-Hacker können hier mithilfe von Pentesting einen Ausweg bieten, um die Sicherheit trotz Zeitdruck nicht nur in Applikationen, sondern auch in Konfigurationen signifikant zu verbessern.
Unternehmen sind vernetzter als je zuvor. Die digitalen Produktions- und Lieferprozesse erfordern dabei eine wachsende Zahl von Datenverbindungen zu Lieferanten, Kunden und Partnerunternehmen. Gleichzeitig steigt aber die Komplexität der Unternehmens-IT durch neue Paradigmen und die Funktionsvielfalt der Infrastruktur, deren Anbindung und Zugriffsmöglichkeiten. Darüber hinaus ist aber auch das Thema Cybersicherheit zu einer der wichtigsten Prioritäten von Unternehmen geworden, waren doch 2019 drei von vier Unternehmen von einem Cyberangriff betroffen, so das Ergebnis einer Bitkom-Studie zum Thema Cyberkriminalität. Entsprechend müssen sich die Unternehmen dringend darüber Gedanken machen: Wie lässt sich die IT-Infrastruktur besser vor Angriffen schützen?

Nun arbeiten die Hersteller der IT-Lösungen zwar intensiv daran, diese Systeme ab Werk möglichst sicher auf dem Markt zu bringen. Es wird getestet und untersucht sowie jede mögliche Schnittstelle, jede Variable auf potenziellen Missbrauch geprüft. Doch das ist nur die eine Seite der Medaille. Die andere ist die Konfiguration der Lösung. Auch hier sind selbst die besten Experten nicht davor gefeit, dass ihnen Fehler unterlaufen.

IDOR als Negativbeispiel
Es ist nicht so ganz einfach, verlässliche Daten für die Häufigkeit von sicherheitsrelevanten Falsch- oder Fehlkonfigurationen zu erhalten, doch bietet gerade das Web und der Auftritt der Unternehmen mit eigenen Webshops hier ein Beispiel, dass es nicht immer die Schwachstelle ab Werk sein muss, die die Sicherheit gefährdet. Denn auch die Konfiguration kann durchaus eine wichtige Rolle dabei spielen und daraus können ebenfalls schwerwiegende Konsequenzen erwachsen.

Bei IDOR (Insecure Direct Object Reference) handelt es sich eine Schwachstelle in der Zugriffskontrolle. Oft tritt sie bei Webanwendungen oder APIs auf, wenn ein direkter Zugriff auf eine interne Datenbank erfolgt, dieser Zugriff aber nicht kontrolliert oder authentifiziert wird. Diese Sicherheitslücke können Angreifer relativ einfach ausnutzen, beispielsweise, wenn Benutzer die Möglichkeit haben, Inhalte auf einer Onlineplattform durch andere Inhalte zu ersetzen. Eine nicht sorgfältig genug geprüfte Konfiguration macht es dann möglich, das Verhalten der Plattform zu verändern, Daten zu stehlen oder auch das System als Host für Schadsoftware zu missbrauchen.


Dabei bedarf es keines besonderes großen Aufwands von Seiten der Angreifer, denn IDOR-Attacken sind einfach auszuführen. Der Hacker manipuliert schlicht HTTP-Anfragen, indem er einen der Parameter ändert, um Zugriff auf die Informationen seiner Wahl zu erhalten. Ein solcher Angriff ist möglich, wenn Entwickler von Websites und Webapps einen zu direkten Zugriff auf Informationen erlauben, ohne die Folgen zu kontrollieren. IDOR-Attacken sind daher bei Hackern sehr beliebt und kommen entsprechend häufig zum Einsatz. Es gibt dabei jedoch nicht nur eine, sondern gleich mehrere Arten dieser Angriffsform. Dazu zählen unter anderem

  • Modifikation von Webseiten: Hacker sind in der Lage, den Wert eines Kontrollkästchens, einer Optionsschaltfläche, von APIs und Formularfeldern zu ändern, um auf diese Weise die Informationen von Website-Benutzern zu sammeln.
  • URL-Manipulation, bei der die URL des Clients durch Manipulation der Parameter der HTTP-Anfrage verändert wird.
  • HTTP-Anfragen, die IDOR-Schwachstellen beherbergen.
In ihrer einfachsten und häufigsten Form entsteht eine IDOR-Schwachstelle, wenn der Benutzer in der Lage ist, ohne Autorisierung auf Inhalte zuzugreifen und diese zu ersetzen. Wie problemlos das sein kann, hatte der White-Hat-Hacker Rojan Rijal 2018 bei Shopify nachgewiesen. Er achtete darauf, wie Dateianhänge beim Senden einer Anfrage an die Exchange-Marketplace-App von Shopify getaggt wurden. Aufgrund des Musters, dass sich sehr schnell herauskristallisierte, war er anschließend in der Lage, Dokumente mit demselben Dateinamen von verschiedenen Konten zu ersetzen.

Ein anderes Beispiel war eine Fehlkonfiguration bei der umstrittenen Social-Media- und Microblogging-Plattform Parler. Das Unternehmen nummerierte Beiträge in der URL, was ein Indikator für IDOR ist. Sobald also die zur Nummerierung verwendete Zahl innerhalb der URL eines Parler-Beitrags hochgezählt wurde, konnte man uneingeschränkt auf den nächsten Beitrag der Plattform zugreifen. Ohne Authentifizierung war es daher für einen Hacker problemlos möglich, ein Programm zu entwickeln, mit dem er die gesamten Nachrichten, Fotos, Videos und Daten der Website herunterladen konnte. Wenn es sich nur um öffentliche Nachrichten handelte, wurden auch die in den Nachrichten enthaltenen Geolokalisierungsdaten heruntergeladen. Dadurch waren die Wohnorte der Benutzer einsehbar. Probleme dieser Art sind nicht nur peinlich für das Unternehmen, sie können – durch entsprechende Bußgelder der Behörden – richtig teuer werden.



Seite 1 von 2 Nächste Seite >>


ln/Laurie Mercer, Security Engineer bei HackerOne

Tags

Ähnliche Beiträge

So bleibt IT-Sicherheit auch für den Mittelstand bezahlbar

IT-Sicherheit darf keine Kostenfrage sein. Dennoch nennen viele Unternehmen die Investitions- und Betriebskosten als Hauptgrund für ihre Zurückhaltung beim Thema Sicherheit. Doch wie viel Wahrheit steckt dahinter? Warum handeln deutsche Unternehmen (noch) nicht? Und warum ist ITSicherheit überlebenswichtig? Und welche Rolle spielt dabei NIS2? Diesen Fragen und möglichen Lösungsansätzen gehen wir in unserem Artikel auf den Grund.

Künstliche Intelligenz nutzen und datenschutzkonform agieren

Künstliche Intelligenz ist ein Meilenstein für die Technologiebranche, ihr volles Potenzial aber noch nicht ausgeschöpft. Es zeigt sich jedoch, dass KI-Anwendungen eine intensive Datennutzung und menschliches Eingreifen erfordern – nicht zuletzt um Datenschutz zu gewährleisten und mögliche neue Sicherheitsrisikien zu vermeiden. Organisationen müssen daher analysieren, wie sie KI in ihre Strategie zum Datenmanagement integrieren können.

Mehr Datensicherheit durch ganzheitliche Plattformen

Die Folgen von Cyberangriffen sind für Unternehmen verheerend. Dies gilt vor allem für Attacken auf hybride IT-Umgebungen, die Datenverluste auf mehreren Plattformen zur Folge haben. Deshalb lohnt es sich, auf ganzheitliche Werkzeuge für eine sichere Kommunikation und Datenübertragung zu setzen. Welchen maßgeblichen Beitrag Produktivitätsplattformen in den Bereichen Verwaltung, Kosteneffizienz und Reaktionsschnelligkeit leisten, erklärt unser Artikel.