State of the Swiss web Q1 2022
Veröffentlicht am: 28. März 2022
Autor: David Peyer
Wie ist der allgemeine Zustand der Schweizer Internet-Landschaft? In dieser Blogreihe analysiere ich meine Erfahrungen aus den letzten drei Monaten. Ziel ist es eine kurze Übersicht zu erhalten, wo die momentanen Probleme von Schweizer Webapplikationen und Mobilen Apps liegen.
Bei unserer täglichen Arbeit kommen wir laufend in Kontakt mit diversen Sicherheitslücken und Sicherheitsmängel. Diese Daten sammeln wir für interne Analysen und einen Teil davon fasse ich in diesem Bericht zusammen.
Testsample 50 Webapplikationen
In den vergangenen drei Monaten haben wir 50 zufällig ausgewählte Webapplikationen von Schweizer KMUs kurz unter die Lupe genommen. Dabei fanden wir ohne grosse Anstrengung, innerhalb von 5 Minuten, mittlere bis schwerwiegende Probleme.
Alle Resultate sind hier anonymisiert aufgeführt. Die betroffenen Firmen wurden informiert.
Die Top 5 der Probleme werden einzeln beschrieben. Alle anderen sind am Schluss in der Zusammenfassung ersichtlich.
Top 5 Sicherheitslücken und Sicherheitsmängel
Firma I
KMU in der Lebensmittelbranche; ~250 Mitarbeiter; Umsatz ca. CHF 100Mio
Befund:
Kompletter Kundenstamm, Datenbank-Backups und Bestellungen konnten öffentlich eingesehen und verändert werden.
Firma II
KMU mit digitalem Service in der Mobilitätsbranche; mehr als 100k Downloads im Google Play Store
Befund:
Webapp: Interne Bestimmungen, Anleitungen und Sitzungsprotokolle konnten öffentlich eingesehen werden.
Mobile App / API IDOR: Auflistung von Kundendaten und Spezialbewilligungen.
Firma III
International tätiges Unternehmen aus der Schweiz in der Medizinalbranche; Umsatz ca. CHF 2Mia.
Befund:
Webseite: Lizenzierte Inhalte eines Lexikons öffentlich verfügbar.
Firma IV
KMU tätig in der Softwareentwicklung; 35 Mitarbeiter
Befund:
Webseite: Öffentlich zugängliche Analyticsdaten von Kundenwebseiten
Webseite: Öffentlich zugängliches Build-System mit Kundenlisten und Programm-Downloads
Firma V
Firma in der Tourismusbranche; Mitarbeiter ~1000; Umsatz CHF 90Mio
Befund:
Mobile App / API IDOR: Bewegungsprofile der Kunden, Auswertungen zu Kundenverhalten, Umsatz und Auslastung konnten mit frei zugänglichen Daten erstellt werden.
Zusammenfassung
| Veraltete oder falsche DNS-Einträge: | 3 von 50 Stück |
| Abgelaufene oder falsche Zertifikate: | Produktiv im Einsatz 2 von 50 Stück Bei Testsystemen waren ca. 32% der Zertifikate falsch oder abgelaufen |
| Veraltete Server Software: | 1 von 50 Stück (Windows 2008 R2) |
| Directory-Listing: | 2 von 50 Stück |
| Sensitive Data Exposure: | 6 von 50 Stück |
| API IDOR: | 3 von 50 Stück |
Erkenntnisse aus KI-Scanner
Besucher unserer Webseite können mit Hilfe unserer eigens entwickelten künstlichen Intelligenz (KI) ihre Webapplikation gratis überprüfen. Dieses schnelle Review ergibt einen guten Überblick über den Stand der Applikation. Die Applikation wird von A-F bewertet.
Zusammengefasst können wir über alle Scans sagen, dass C die Durchschnittsnote ist. Über alle Scans sorgen fehlende Security-Header für den grössten Abzug.
Weitere Blog-Beiträge
Folgende Blog-Beiträge könnten Sie interessieren:
Ein 8-stelliges Passwort mit Nummern, Gross- und Kleinbuchstaben und Sonderzeichen kann in unter einer Stunde geknackt werden.
Quelle: Hive Systems
