Hackathon bei Sulzer – gemeinsam Schwachstellen von Webanwendungen erkennen
Hackathon bei Sulzer – gemeinsam Schwachstellen von Webanwendungen erkennen
News

Hackathon bei Sulzer – gemeinsam Schwachstellen von Webanwendungen erkennen

Interne und externe Experten aus den Bereichen IT-Sicherheit, Soft- und Hardware sowie Entwicklung trafen sich zu einer „Capture the Flag“ Veranstaltung und suchten erfolgreich nach potenziellen Sicherheitsrisiken in Webanwendungen.

Wie lassen sich am besten Sicherheitslücken in einer Anwendung erkennen? Hackathons haben sich hier als kollaboratives Veranstaltungs-Format besonders bewährt. Experten der unterschiedlichsten Fachbereiche kommen dabei zusammen und gehen gemeinsam möglichen Schwachstellen auf die Spur. Der Vorteil: Sie betrachten in Teams Probleme aus unterschiedlichsten Blickwinkeln – und suchen so fachübergreifend nach Lösungen.

 

„Capture the Flag“ Veranstaltung in Magdeburg

 

Im Rahmen eines Hackathons luden wir in die Magdeburger Niederlassung hausinterne sowie externe Experten aus den Bereichen IT-Sicherheit, Soft- und Hardware, Administration, Webentwicklung, Consulting und Testing ein. Unter strenger Einhaltung der Corona-Sicherheitsmaßnahmen konnten die Teilnehmer ihre Fähigkeiten an der PHP/MySQL-Webanwendung „Damn Vulnerable Web Application” (DVWA) testen – und im gegenseitigen Austausch neue Einblicke in die Sicherungsprozesse von Webanwendungen erhalten.

 

Sicherheitslücken erkennen und ausnützen

 

Auf Linux-Notebooks probierten sie aus, welche Sicherheitslücken in einer verwundbaren Anwendung ausgenutzt werden konnten. Eine besondere Herausforderung bestand darin, dass die Übungssysteme nicht an das Internet angeschlossen waren. Die wenigen vorhandenen Tools mussten kreativ kombiniert werden: Software wie netcat galt es zunächst aus dem anzugreifenden System zu extrahieren, bevor sie eingesetzt werden konnte. An anderer Stelle mussten zunächst Skripte zum Durchführen der Angriffe geschrieben werden.

 

Einfallstor für Angriffe – vermeintlich sichere Webanwendungen

 

Die fachübergreifenden Teams ließen sich von diesen vielfältigen Hürden nicht aufhalten – und verschafften sich Zugriff auf die vermeintlich sichere Webanwendung. Gemeinsam wurden schlecht generierte Cross-Site-Request-Forgery (CSRF) Token umgangen, Remote Remote Code Executions (RCE) erlangt, Remote Shells geöffnet und Daten aus der vermeintlich geschützten Datenbank extrahiert.

 

So konnten die Teilnehmer auf spielerische Art und Weise im Zuge der dreistündigen Capture the Flag Veranstaltung ihr Wissen austauschen – und vor allem neue Kenntnisse aufbauen.

 

Fortführung der „Capture the Flag“ Veranstaltungsreihe geplant

 

Aufgrund der überaus positiven Teilnehmerresonanz werden wir diese Workshop-Reihe in Zukunft fortführen – und somit weiterhin sicherheitsbegeisterte Experten aus verschiedenen Bereichen zusammenbringen sowie den Austausch untereinander fördern.

Sie benötigen Unterstützung im Bereich IT-Sicherheit? Sie haben Interesse, zukünftig an einem Hackathon teilzunehmen?

Unsere Experten informieren Sie gerne.

Robert Beicht, IT-Security
Robert Beicht
IT-Security