1
 
 
Profil
In deinem persönlichen Profilbereich kannst du den Status deiner Bewerbung einsehen, unvollständige Bewerbungen zwischenspeichern und aktuelle News und Events einsehen
11. Mai 2023

YesWeHack und OTTO veranstalteten Live Bug Bounty Hunting


Worum geht es in diesem Artikel?

Während der diesjährigen Nullcon Berlin, einer internationalen IT-Security Konferenz auf der sich viele Experten treffen, haben wir gemeinsam mit YesWeHack, einem führenden Anbieter von Bug Bounty Services, ein Live Bug Bounty Hunting durchgeführt. Dabei kamen rund 40 Security Researcher zusammen, um die Infrastruktur von OTTO einem intensiven Sicherheitstest zu unterziehen. Für uns war das eine willkommene Gelegenheit, um unsere Webanwendungen auf Schwachstellen zu überprüfen und gleichzeitig aus dem Dialog mit den Forscher*innen zu lernen.

Was ist Bug Bounty Hunting?

Bug Bounty Hunting ermöglicht es IT-Sicherheitsforschern, auf legale Weise Schwachstellen in Systemen zu finden und zu melden. Die Bug Bounty Hunter erhalten für ihren Einsatz eine finanzielle Belohnung. Dieses Konzept stellt einen legalen und anerkannten Ansatz zur Verbesserung der IT-Sicherheit von Systemen dar.


Das Ergebnis

Durch die Zusammenarbeit mit YesWeHack und die direkte Interaktion mit den Sicherheitsforschern konnten mögliche Schwachstellen in Echtzeit identifiziert und behoben werden. Mit aktuellen Tools und Methoden wurden die OTTO-eigenen Systeme unter anderem auf die OWASP Top 10, aber auch auf andere Schwachstellen, wie z.B. einen Subdomain Takeover, bei dem ein Angreifer eine abgelaufene Subdomain übernimmt und für bösartige Zwecke missbraucht, untersucht. Neben www.otto.de haben die Sicherheitsforscher zahlreiche weitere Webanwendungen sowie die OTTO Mobile App getestet.

Teilnehmende des Live Bug Bounty Huntings mittendrin
Teilnehmende des Live Bug Bounty Huntings mittendrin

Die Sicherheitsforscher lobten die Sicherheit der OTTO-Systeme, da es für sie nicht einfach war, Schwachstellen zu finden. Dennoch wurden uns interessante Schwachstellen gemeldet, die wir zur Verbesserung der Sicherheit unserer Infrastruktur nutzen konnten. Alle Meldungen wurden von unseren Sicherheitsanalysten geprüft und bewertet. Die Angriffsvektoren waren zum Teil sehr speziell, so dass die Kreativität der Bug Bounty Hunter gefragt war und sie ihren ganzen Erfahrungsschatz einsetzen mussten, um valide Findings aufzuzeigen.

Vorgehensweise der Security Researcher 

Die von den Security Researchern eingesetzten Tools waren sehr individuell, von den Standard Tools wie curl und dig, die in aktuellen Betriebssystemen bereits installiert sind, bis hin zu vollautomatisierten Tools, die in der Cloud laufen und bei Bedarf skaliert werden, verfügten die Researcher über ein breites Repertoire an Werkzeugen. Die Portswigger Burp Suite war bei allen Teilnehmern im Einsatz. Es wurde jedoch auch deutlich, dass viele von ihnen selbst entwickelte Tools einsetzten, die z.B. mittels Python oder Bash-Scripting programmiert wurden, um potenzielle Angriffsvektoren schnell zu validieren. Kenntnisse in der Entwicklung von Prototypen waren also von Vorteil, denn der Faktor Zeit spielte eine entscheidende Rolle, wenn man als erste Person eine gefundene Schwachstelle melden wollte, um die Belohnung dafür einzustreichen.


Ein kurzer Film auf YouTube fasst die Highlights der Veranstaltung zusammen und vermittelt einen lebendigen Eindruck von der Atmosphäre während der Veranstaltung.

Fazit

chAm Ende der zwei Tage wurde nicht nur der „Most Valuable Hacker“ gekürt, sondern auch die These bestätigt, dass Sicherheit kein fixer Zustand ist, der erreicht werden kann, sondern ein Thema, an dem kontinuierlich gearbeitet werden muss. Wir als Unternehmen haben diese Veranstaltung genutzt, um unsere internen Prozesse und Tools weiter zu verbessern, damit wir in der Lage sind schnell auf potenzielle Bedrohungen zu reagieren. Die Erkenntnisse aus dieser Veranstaltung nutzen wir, um unsere Softwareentwickler*innen darin zu unterstützen, auch in Zukunft sichere Applikationen und die dafür notwendige IT-Infrastruktur aufzubauen.

Wenn du eine Frage an das Team hast, kommentiere gerne unter dem Artikel. Ich melde mich schnellstmöglich zurück.


Photocredits @YesWeHack

Möchtest du Teil des Teams werden?

2 Personen gefällt das

0Noch keine Kommentare

Dein Kommentar
Antwort auf:  Direkt auf das Thema antworten

Geschrieben von

Andreas Wienes
Andreas Wienes
Ehemaliger IT Security Analyst bei OTTO

Ähnliche Beiträge

We want to improve out content with your feedback.

How interesting is this blogpost?

We have received your feedback.

Cookies erlauben?

OTTO und drei Partner brauchen deine Einwilligung (Klick auf "OK") bei einzelnen Datennutzungen, um Informationen auf einem Gerät zu speichern und/oder abzurufen (IP-Adresse, Nutzer-ID, Browser-Informationen).
Die Datennutzung erfolgt für personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen sowie um Erkenntnisse über Zielgruppen und Produktentwicklungen zu gewinnen. Mehr Infos zur Einwilligung gibt’s jederzeit hier. Mit Klick auf den Link "Cookies ablehnen" kannst du deine Einwilligung jederzeit ablehnen.

Datennutzungen

OTTO arbeitet mit Partnern zusammen, die von deinem Endgerät abgerufene Daten (Trackingdaten) auch zu eigenen Zwecken (z.B. Profilbildungen) / zu Zwecken Dritter verarbeiten. Vor diesem Hintergrund erfordert nicht nur die Erhebung der Trackingdaten, sondern auch deren Weiterverarbeitung durch diese Anbieter einer Einwilligung. Die Trackingdaten werden erst dann erhoben, wenn du auf den in dem Banner auf otto.de wiedergebenden Button „OK” klickst. Bei den Partnern handelt es sich um die folgenden Unternehmen:
Google Ireland Limited, Meta Platforms Ireland Limited, LinkedIn Ireland Unlimited Company
Weitere Informationen zu den Datenverarbeitungen durch diese Partner findest du in der Datenschutzerklärung auf otto.de/jobs. Die Informationen sind außerdem über einen Link in dem Banner abrufbar.
Du kannst deine Einwilligung auch jederzeit grundlos mit Wirkung für die Zukunft widerrufen, indem du auf den Button "Cookie-Einstellungen" im Footer der Website und "Cookies ablehnen" klickst.