SYGIC

Aufgabe

Das Unternehmen Sygic beauftragte uns mit der Testung der Webanwendung ihres Produkts Sygic FleetWork aus der Perspektive eines Standard-Endbenutzers. Wir entschieden uns, die Tests vollständig nach der Methodologie des OWASP Testing Guide durchzuführen. Diese Methodologie umfasst die Testung der Webanwendung auf Schwachstellen gegenüber einer Vielzahl von Risiken, die es einem Angreifer ermöglichen könnten, die Anwendung zu kompromittieren.

Unsere Lösung

Nach Zustimmung zum Umfang und Zeitplan begannen zwei ethische Hacker von Citadelo systematisch, die Anwendung des Kunden zu überprüfen – durch eine Kombination aus automatisierten Tools und manuellen Tests.

Die Tests enthüllten mehrere Schwachstellen und logische Fehler in der Anwendung, die den Benutzern ermöglichten, Zugriffe zu erhalten und Befehle auszuführen, die über ihre Standardberechtigungen hinausgingen. Einige Schwachstellen waren für sich genommen nicht kritisch, aber einfallsreiche Angreifer könnten sie kombinieren und ausnutzen.

In einem detaillierten Bericht haben wir die gefundenen Schwachstellen gemeldet. Das Dokument enthält eine nicht-technische Erklärung der gefundenen Mängel sowie eine detaillierte Dokumentation jeder gefundenen Schwachstelle, die Schritte zu ihrer Reproduktion und Empfehlungen zu ihrer Behebung.

Zum vereinbarten Termin führten wir eine erneute Testung der ursprünglich gefundenen Schwachstellen in der Anwendung durch. Wir waren erfreut, dass Sygic unsere Empfehlungen zur Behebung der gefundenen potenziellen Fehler angenommen hatte. „Die Zusammenarbeit mit Citadelo war schnell und professionell. Ihre Hilfe bei der Absicherung der Anwendung ermöglicht es uns, uns auf die Entwicklung neuer Funktionen zu konzentrieren. Die detaillierte Präsentation der Testergebnisse zeigte uns, wie kleine Probleme zu ernsthaften Schwierigkeiten führen können, und auch, wie wir sie in unseren anderen Anwendungen bewältigen können.“ Roman Huba, Produktmanager, Sygic FleetWork

„Die Zusammenarbeit mit Citadelo war schnell und professionell. Ihre Hilfe bei der Absicherung der Anwendung ermöglicht es uns, uns auf die Entwicklung neuer Funktionen zu konzentrieren. Die detaillierte Präsentation der Testergebnisse zeigte uns, wie kleine Probleme zu ernsthaften Schwierigkeiten führen können, und auch, wie wir mit ihnen in unseren anderen Anwendungen umgehen können.“

Roman Huba, Produktmanager Sygic FleetWork.

Kunde

Sygic Business Solutions ist eine spezialisierte Abteilung von Sygic, dem Entwickler der modernsten Navigationsanwendung, der von mehr als 130 Millionen Fahrern weltweit vertraut wird.

Sygic Business Solutions entwickelt professionelle GPS-Navigation mit gut dokumentiertem SDK für die einfache Integration in andere Lösungen für das Mobile Workforce Management. Das Portfolio umfasst ein eigenes webbasiertes System zur Flotten- und Arbeitskräfteverwaltung, Sygic FleetWork, sowie weitere geolokationsbasierte Produkte.

Produkte von Sygic werden von mehr als 1500 Flotten in den Bereichen Transport, Spedition, Außendienst, Automobilindustrie, öffentliche und Notdienste genutzt.