Bug Bounty

Was kostet ein Penetrationstest?

30. August 20221. April 2022 von M.Sc. Chris Wojzechowski

Was kostet ein Penetrationstest? Die Frage nach den monetären Aufwänden für eine Sicherheitsanalyse durch Dritte ist häufig die erste. Die Durchführung eines professionellen Penetrationstest erfordert neben der technischen Grundausstattung auch Know-How, eine geschickte Projektorganisation sowie eine gute interne und externe Kommunikation. Das Aufspüren von Sicherheitslücken ist das Ziel dieser Sicherheitsuntersuchung … weiterelesen

WriteHat – Ein unkompliziertes Reporting-Tool für Pentester!

5. Januar 202224. März 2021 von M.Sc. Jan Hörnemann

In einem Penetrationstest wird viel Zeit aufgewendet, die gefundenen Schwachstellen in einem Dokument ausführlich zu dokumentieren. Dieser Reporting-Prozess ist häufig davon geprägt, dass mehrere Penetrationstester an einem Dokument arbeiten und dieses anschließend in eine PDF umwandeln. Mit dem Reporting-Tool WriteHat können sich Penetrationstester in Zukunft viel Arbeit und viel Stress ersparen.

weiterelesen

Metasploitable – Die angreifbare Security-Testumgebung!

5. Januar 202215. März 2021 von M.Sc. Jan Hörnemann

Um verschiedene Angriffe durchzuführen oder echte Sicherheitslücken zu finden, fehlt häufig ein geeignetes Ziel. Befindet man sich nicht in einem beauftragten Penetrationstest, ist es strafbar, echte Sicherheitslücken aufzuspüren. Neben den anspruchsvollen Zielen auf Bug-Bounty-Plattformen und kostenpflichtigen Trainingsportalen gibt es mit Metasploitable eine kostenlose Testumgebung, die sich schnell konfigurieren lässt.

weiterelesen

Pentest-Tool #6 – XSStrike – Ein multifunktionaler XSS-Scanner

12. Juli 20229. Oktober 2020 von M.Sc. Jan Hörnemann

Diese Woche stellen wir in unserer Serie Pentest-Tools das Pentest-Tool #6 „XSStrike“ vor. XSStrike ist ein Scanner und wird zum Auffinden von Cross Site Scripting (XSS) Schwachstellen verwendet. Es kann auch Web Application Firewalls (WAFs) untersuchen, Fingerabdrücke erstellen und fuzzen. Installation von XSStrike XSStrike ist in der Regel nicht vorinstalliert, … weiterelesen

Pentest-Tool #5 – Naabu – der Portscanner in GO

5. Januar 20222. Oktober 2020 von M.Sc. Jan Hörnemann

In der 5. Woche stellen wir das Pentest-Tool #5 Naabu vor. Naabu ist wie die bereits kennengelernten Tools ein Scanner. Wir befinden uns zeitlich immer noch in der Reconnaissance Phase, in der wir als Angreifer versuchen das Zielsystem bestmöglich kennen zu lernen. Das Ziel von Naabu ist es offene Ports … weiterelesen

IOT in Firmennetzen – Studien belegen die Gefahr

5. Januar 202221. August 2020 von M.Sc. Moritz Gruber

Smarte Heizungssteuerungen und Smart-TVs haben in unseren privaten Haushalten schon lange Einzug gefunden. Immer mehr wird dieser Trend auch von der Wirtschaft übernommen, wodurch sich die Anzahl an IOT-Geräten in Firmennetzen deutlich erhöht. Neuste Studien von amerikanischen Sicherheitsforschern beleuchten deren Gefahren. Das Phänomen welches die Sicherheitsforscher von Zscaler beschreiben, nennen … weiterelesen

Unc0ver: Jailbreak für iOS 11 bis 13.5 verfügbar!

5. Januar 202225. Mai 2020 von M.Sc. Chris Wojzechowski

Seit Samstag ist ein nicht dauerhafter und voll reversibeler Jailbreak für iOS 11 bis 13.5 verfügbar. Die Möglichkeit aus dem Betriebssystem von Apple auszubrechen basiert auf einer Zero-Day Lücke die im Kernel zu Hause ist.

Die Entwickler sind positiv gestimmt, dass der Jailbreak auch mit iOS 14 funktioniert. Durch die Veröffentlichung des Jailbreaks verzichten die Entwickler auf die Teilnahme an einem Bug Bounty Programm.

weiterelesen

Sevencast #2 – Lücken, Löcher, Schlünde

12. Juli 202228. März 2020 von M.Sc. Moritz Gruber

Die zweite Folge des Sevencast #2 ist online. Neben Moritz hat heute Jan gesprochen und die neusten Themen der IT-Sicherheit vorgestellt. Google stand diese Woche im Fokus. Aber auch die altbekannten Passwörter wurden in unserem Blog als auch in dem Podcast besprochen.

weiterelesen

Google zahlt 6,5 Millionen USD an Hacker aus

5. Januar 202223. März 2020 von M.Sc. Chris Wojzechowski

Google zahlt 6,5 Millionen USD an Hacker aus und erhöht so das IT-Sicherheitslevel enorm. Erfolgreiche Bug Bounty Programme sind zwar teuer, aber Sicherheitsvorfälle sind teurer! Eine Summe von 6,5 Millionen USD zieht Aufmerksamkeit auf sich. Doch google hat früh verstanden, was es bedeutet die eigenen Daten zu verlieren. Für moderne Geschäftsmodelle und Unternehmen sollte der Umgang mit Sicherheitslücken geregelt sein. Es gibt ausreichend gute wie schlechte Beispiele!

weiterelesen

Btlejack: Bluetooth-Verbindungen belauschen mit Gratis-Tool!

5. Januar 20228. März 2020 von M.Sc. Chris Wojzechowski

Auf der 26. DefCon hat der französische Hacker Damien Cauquil ein kostenloses Werkzeug vorgestellt, mit dem sich Bluetooth-Verbindungen belauschen lassen. Die Problematik fußt auf den Sicherheitsproblemen bei Bluetooth Low Energy. Kostenintensive Hardware ist nicht nötig. Mit wenigen Mitteln können Datenpakete, die über Bluetooth versendet werden, manipuliert werden. Darunter fällt in manchen Fällen auch die Kommunikation zwischen einer Drohne und dem Piloten.

weiterelesen