Am 30. Juni hatten wir Besuch von zwei Penetration-Testern, Alex und Stephan, von ATOS. Zum Vortrag kamen über 50 Personen, eine gute Mischung von Studenten, Mitarbeitern und sogar dem ein oder anderen Professor, die sich für Sicherheit interessierten.
Während Alex uns die Hintergründe und das Vorgehen erklärte, spielte Stephan den Angreifer. So nahmen sich die beiden einen fiktiven Web-Shop vor um ihn auf Schwachstellen zu untersuchen. Begonnen wurde mit eine Cross-Side-Scripting Attacke, um sich die Session das Admins zu besorgen, zusammen mit Cross-Side-Request-Forgery wurde dann die Webseite Manipuliert und so einige Lücken aufgezeigt. Danach ging es weiter mit Angriffen auf die Datenbank per SQL-Injection. Da das manuelle Testen auf einfache Schwachstellen sehr mechanisch von sich geht, gab es dann einen Exkurs in die Burp-Suite, die für viele Angriffe ein gutes Framework bereitstellt. Hier sei erwähnt, das die Verwendung solcher Tools in Deutschland strafbar ist und sie daher niemals unautorisiert verwendet werden dürfen. Penetration-Tests geschehen daher im Einvernehmen mit dem Betreiber. Für alle die selber mit diesen Tools spielen wollen, gibt es die DVWA, die Damn Vulnurable Web Application, zum selber installieren. Als nächstes Tool wurde sqlmap vorgestellt. Damit gelang es Stephan dann, die gesamtem Datenbank sowie weitere Information, wie Dateien, auszulesen. Über einen Upload konnte dann sogar eine Webshell installiert werden, über die direkter Zugriff auf den Server möglich war.
Am Ende konnten uns die Alex und Stephan noch Einblick in den Arbeitsalltag geben und der abschließenden Fragerunden mit reger Beteiligung des Publikums, erzählten sie einige interessante Geschichten aus der Praxis. Wer selber Erfahrung in diese Richtung sammeln will, dem konnten die Beiden ein Praktikum bei ATOS empfehlen.