Worst Case Szenarien

SQL-Injection Vulnerability

Durch eine Fehlerhafte Web-Applikation (PHP-Vulnerability) wird der Homepage des Hotel Sonnenschein wird Hackern "gehackt" und somit übernommen.  Die Schwachstelle befindet sich in mehreren PHP-Formulare, wo Such-Felder über den Browsern gefüllt werden und die eingegebene Werte (Zeichenkette und Nummerische) an die MySQL Datenbank übergeben werden. (z.B. Reservierungsformular) .

Vulnerable PHP-Form

Der Programmierer dieses PHP-Formulars hat sich die Arbeit leicht gemacht indem er keine Kontrol-Routine zur überprüfung der eingegebenen Werte eingebaut hat. Dadurch konnten die Angreifer diese Vulnerability ausnutzen und durch die Such-Felder SQL-Kommandos zum Auslesen der "gewünschten" Information an die Datenbank schicken (SQL-Injection Vulnerability) .

Durch diese SQL-Injection Vulnerability konnte der Hacker zugriff auf die Tabellen der MySQL Datenbank bekommen und einen SHELL uploaden womit er den Webservers vom Hotel von "Remote"  andministrieren kann.

Durch diesen SHELL ist es für den Hacker ein leichtes Spiel mehrere Komponente auf den Webserver laden.

 

Szenario #1

Der Hacker lädt das Script auf den Server wodurch er die Datenbank-Tabellen auslesen kann und an die Information der Hotelgäste gelangen kann.

Fast alle Hotelgäste zahlen heute zu Tage entweder mit der Kreditkart oder mit der EC-Karte. In so einer Situation versucht der Hacker so lange wie möglich unsichtbar bzw. unentdeckt zu bleiben um soviel Kundendaten wie möglich von dem Webserver dieses Hotels zu stehlen.
Der Hacker schickt jeden Tag die Kundendaten (Kreditkartendaten/Kontonummer/Adresse/eMail/Telefonnumer/ etc.) dann möglicherweise an seine Gruppe oder Kumpanen um an das Geld dieser ahnungslose Gäst zu kommen.

Dieses Spiel macht er so lange bis er entweder vom System Administrator entdeckt und somit "rausgeworfen" wird.
oder
die ersten Kunden es bemerkt haben, dass Ihr Konto geplündert wurde. Diese Kunden wenden sich dann an Ihre Bank und an die Polizei. Nach kurze Ermittlung und ggf. anhäufung ähnlicher Straffanzeige stellt sich heraus, dass die Quelle diese Strafftaten das Hotel Sonnenschein seien kann.

Als nächstes steht die Poluei vor der Tür des Hotels Sonnenschein und nach einer kurzen Untersuchung des Webservers durch Spezialisten wird der Hacker entdeckt und auch "rausgeworfen".

 

Unser Serviceangebot

  • Beratung & Konzeption
  • Infrastruktur Penetrationstests extern und intern
  • Vulnerability Management
  • Web Applikations Penetrationstests (WAS)
  • System-, Design und Source Code Reviews
  • Härtung Ihrer System
  • IT-Forensische Untersuchungen und Beweissicherung

Unsere Kompetenz

  • Sicherheit Ihrer Unternehmensdaten
  • Analyse von Schwachstellen und Sicherheitslücken
  • Lösungserarbeitung und Implementierung
  • Markt und die Produktübersicht
  • Kundenorientierung
  • Unabhängigkeit und Produktneutralität