Audyt Bezpieczeństwa angielskiego dostawcy usług SaaS

Informacje o Kliencie:
Naszym kolejnym Klientem został ***Informacja Poufna ***, który jest angielskim dostawcą usług SaaS (Software as a Service).

Nasze zadanie:
Naszym kluczowym zadaniem było sprawdzenie zabezpieczeń i wykrycie potencjalnych podatności usług, które angielski dostawca oferuje swoim Klientom.
Na „celowniku” naszych badań i analiz znalazła się infrastruktura serwerowa Klienta wraz z aplikacjami e-commerce, które angielski dostawca udostępnia swoim Klientom w modelu SaaS.
Testy oczywiście miały odbyć się w zgodzie z metodologią OWASP (Open Web Application Security Project).

Realizacja zadania:
Realizacja założonych prac odbyła się w zespole składającym się z 3 specjalistów ds. Testów Aplikacji Internetowych oraz Linux Specialist.
Nasz zespół techniczny przeprowadził pełne testy konfiguracji infrastruktury serwerowej Klienta.
Testy zostały przeprowadzone całkowicie w 100% jako tzw. blackbox, czyli bez dostępu do systemu i kodu źródłowego aplikacji.

Przetestowane zostało również bezpieczeństwo aplikacji e-commerce, która jest core biznesem naszego Klienta. To platforma służąca do sprzedaży internetowej i marketingu, którą każdy z Klientów może wykupić jako własną, oddzielną usługę i zbrandować według własnych potrzeb.

Co zyskał Klient?
Podczas trwających ponad miesiąc testów bezpieczeństwa przekazaliśmy naszemu Klientowi łącznie 18 podatności, z czego aż 4 w konfiguracji infrastruktury serwerowej.

Niestety, w dzisiejszym Case Study możemy opowiedzieć tylko o dwóch ciekawych podatnościach, które naszym zdaniem zasługują na uwagę.
Ze względów bezpieczeństwa informacji naszego Klienta, możemy opisać je tutaj tylko dosyć pobieżnie.

1) Atak XML External Entity (XXE), który był obecny w module dodawania produktów. Dzięki XXE odczytaliśmy pliki z serwera i zupełnie swobodnie mogliśmy wykonywać komendy w samym systemie. Atakujący, w przypadku odnalezienia tej podatności przed nami, mógłby naprawdę dość mocno skomplikować działanie świetnego biznesu naszego Klienta.

2) Drugą ciekawą podatnością było znalezienie ukrytego ‚panelu administracyjnego’, odpowiedzialnego za sprawdzenie stanu, reset pozostałych serwerów oraz wykonanie prostych komend. Niestety panel okazał się być stworzony w tak bardzo nieefektywny sposób, że w dość szybkim czasie nasze działania pozwoliły już na wykonywanie dowolnych komend (shell executions) w systemie Klienta.

Nasze testy bezpieczeństwa zostały zakończone kompletnym raportem wraz ze wskazówkami, w jaki sposób należy zniwelować wskazane podatności.
Co zyskaliśmy my?
Klient, jak nas zapewnił, był bardzo zadowolony z naszych usług. Zostaliśmy również zaproszeni do wykonania retestów, jak tylko zostanie stworzona nowa wersja jego systemu.

Serdecznie dziękujemy !