Pentesting eines E-Commerce-Unternehmens
Das Engagement
Das Szenario
Ein bekanntes E-Commerce-Unternehmen, das seine internen und externen Sicherheitsmaßnahmen verbessern wollte, beauftragte NextdoorSEC mit einer umfassenden Bewertung seiner Cybersecurity-Verteidigung.
Außerdem verlangten sie einen umfassenden Penetrationstest für ihre maßgeschneiderte Kundendienst-Webanwendung. Das Hauptziel des Unternehmens bestand darin, die Wirksamkeit seiner IT-Sicherheitskontrollen zum Schutz seiner Geschäftsgeheimnisse und Kundendaten zu bewerten und Einblicke in seine Systemschwachstellen und mögliche Gegenmaßnahmen zu gewinnen..
Die Zielsetzung
Die Ziele der Penetrationstests waren wie folgt
Externer Penetrationstest
- Einbruch in das System aus der Perspektive eines Außenstehenden, der einen unbekannten, böswilligen Angreifer imitiert
- Extrahieren von sensiblen Informationen wie Kontoinformationen, Kundendaten, Geschäftsgeheimnissen usw.
- Angriff auf die benutzerdefinierte Webanwendung, um Kundendaten zu extrahieren, ohne dass zuvor Anmeldedaten für das Konto bereitgestellt wurden
Interner Penetrationstest
- Angreifen und Kompromittieren sensibler Server, wie z. B. Dateiserver, Domänencontroller-Server und CRM-Server.
- Extrahieren sensibler Informationen, wie z. B. Zugangsdaten zu Konten, Kundendaten, Geschäftsgeheimnisse usw.
Alle Penetrationstests von NextdoorSEC wurden aus einer “Blackbox”-Perspektive durchgeführt, d.h. mit keinerlei anfänglichen Informationen über das Zielunternehmen, abgesehen von seinem Namen. Dieser Ansatz gewährleistet, dass die simulierten ethischen Hacking-Angriffe so realistisch wie möglich sind.
Der Prozess
NextdoorSEC verwendet dieselben Tools und Strategien, die von bösartigen Akteuren gegen Unternehmen eingesetzt werden. Dazu gehören manuelle und automatisierte Testmethoden unter Verwendung kundenspezifischer und branchenüblicher Tools.
Während des internen Penetrationstests wurde ein NextdoorSEC-Berater mit der vollen Zustimmung des IT-Managers vor Ort eingesetzt. Die Ergebnisse dieses Tests verblüfften den IT-Manager und die Geschäftsleitung des Unternehmens.
Für den externen Penetrationstest wurden einige der öffentlich zugänglichen Domänen und Dienste des Unternehmens, einschließlich der eigens entwickelten Webanwendung, ins Visier genommen, was zu beeindruckenden Ergebnissen führte.
Nach Abschluss der Tests erhielt das Unternehmen einen detaillierten Bericht, der eine Zusammenfassung, die technischen Ergebnisse und Empfehlungen zur Behebung der Probleme enthielt.
Ergebnisse
✅ Steuerung des Mauerseglersystems
Unsere Berater sicherten sich in nur einer Stunde den vollen Domänenadministrator-Zugang, der ihnen die Kontrolle über alle Computer und Server innerhalb des Unternehmensnetzwerks, wie Domänencontroller, Dateiserver und E-Mail-Server, gewährte.
✅ Beherrschung der Firewall
Die Berater von NextdoorSEC erhielten vollen administrativen Zugriff auf die zentrale Firewall des Unternehmens, so dass sie alle Sicherheitsregeln nach Bedarf ändern konnten und so eine zentrale Schwachstelle aufdeckten.
✅ Netzsteuerung in der Tasche
Unsere Berater erhielten vollen administrativen Zugriff auf die Netzwerkrouter des Unternehmens. In einem realen Angriffsszenario könnte ein böswilliger Akteur mit dieser Kontrollebene das gesamte Unternehmensnetzwerk manipulieren.
✅ Helpdesk-Imitation gelungen
Die Berater von NextdoorSEC versuchten erfolgreich, sich von einem externen Zugangspunkt aus als IT-Helpdesk des Unternehmens auszugeben und demonstrierten damit eine Methode, die ein böswilliger Angreifer nutzen könnte, um sich weiteren Zugang zu verschaffen und weitere zerstörerische Aktivitäten durchzuführen.
✅ Webserver und App-Übernahme
Unser Team verschaffte sich vollständigen administrativen Zugriff auf den Server, auf dem die vom Unternehmen entwickelte Webanwendung für den Kundendienst gehostet wird, sowie auf die Webanwendung selbst, was ein ernsthaftes Sicherheitsproblem darstellt.
Der PC eines IT-Managers wurde manipuliert
NextdoorSEC verschaffte sich erfolgreich vollen administrativen Zugriff auf den PC des IT-Managers, eine kritische Sicherheitsverletzung, die für das Unternehmen katastrophal wäre, wenn sie das Werk eines tatsächlichen Cyber-Angreifers wäre.
✅ Einbruch in das Telekommunikationssystem
NextdoorSEC erlangte vollständigen administrativen Zugang zu den PBX-Systemen des Unternehmens und deckte eine Schwachstelle auf, die es Angreifern ermöglichen könnte, Anrufe zu tätigen und aufzuzeichnen, Telefonanschlüsse zu erstellen und vieles mehr.
✅ Einbruch in die Chefetage
Unser Team erhielt vollen administrativen Zugriff auf alle PCs der leitenden Angestellten, eine Sicherheitslücke, die es Angreifern ermöglichen könnte, sensible Informationen zur Geschäftsstrategie zu erlangen.
✅ S ichern Sie Ihren elektronischen Handel: Buchen Sie noch heute einen Pen-Test!
Diese Ergebnisse unterstreichen die dringende Notwendigkeit robuster Sicherheitsmaßnahmen und regelmäßiger Penetrationstests, insbesondere für Unternehmen, die im Bereich des elektronischen Handels tätig sind. Durch solche Tests können Unternehmen potenzielle Sicherheitsschwachstellen erkennen und beheben und so ihre allgemeine Cybersicherheitslage verbessern.
Word on the street
We're not like average security penetration testing companies. We've earned a reputation for delivering tailored solutions to businesses of all sizes. From mom-and-pop shops to tech startups, our expertise keeps your data safe and sound. Our clients appreciate our customized approach and commitment to transparency. Join the Nextdoorsec fam, one of the reliable vulnerability assessment companies and rest easy knowing your security is in good hands.
Nextdoorsec is an exceptional security company that provides thorough and detailed reports that are easy to understand. Their team is highly knowledgeable and responsive, always willing to answer any questions and provide guidance on how to properly address security vulnerabilities according to industry best practices. With Nextdoorsec's help, we were able to identify and address previously undetected security gaps in our systems, giving us greater confidence in our overall security posture. We highly recommend Nextdoorsec for any organization looking to improve their security posture and protect their valuable assets.
Pieter van der Meer
Cloud Architect
Nextdoorsec provided our organization with top-notch security services. Their team was incredibly thorough and professional, and their level of communication was outstanding. They kept us informed at every step of the process and were always available to answer any questions we had. We were particularly impressed with their commitment to transparency and their ability to provide actionable recommendations for improving our security posture. We would highly recommend Nextdoorsec to any organization looking to enhance their security and protect their valuable assets.
Lars Jansen
CTO
Get Started
Are you prepared to beef up your cyber defenses and soar to new heights in the digital world?