Sicherheit in der IT gehört heutzutage dazu. Um erfolgreiche Angriffe abzuwehren, Daten zu schützen und Lieferketten aufrechtzuerhalten, sollten regelmäßig Maßnahmen ergriffen werden. Der Penetration Testing Execution Standard (PTES) kann Ihnen dabei helfen Angebote einzuholen und zu vergleichen. In diesem Beitrag klären wir darüber auf, was hinter dem PTES konkret verbirgt. … weiterelesen
Das Active Directory ist ein Netzwerkdienst, der in einer Windows-Domäne zum Einsatz kommt. Es dient zur Verwaltung der Benutzer- und Computeraccounts sowie der Gruppen in einer Domäne. Zusätzlich können in einer Active Directory-Domäne auch weitere Informationen wie Dienste, Netzwerkgeräte und Netzwerkdienste gespeichert werden. Das Active Directory ist ein komplexes und … weiterelesen
Ein Pentest für die ISO 27001 sehen viele Beteiligte als selbstverständlich an. Aber warum ist die unabhängige Untersuchung der Systeme so wichtig? Eine ISO 27001 Zertifizierung zeigt auf Kunden und Lieferanten auf Anhieb, dass das Thema rund um die Informationssicherheit adressiert wird. Dabei ist eine Zertifizierung selber kein Zeichen für … weiterelesen
Was kostet ein Penetrationstest? Die Frage nach den monetären Aufwänden für eine Sicherheitsanalyse durch Dritte ist häufig die erste. Die Durchführung eines professionellen Penetrationstest erfordert neben der technischen Grundausstattung auch Know-How, eine geschickte Projektorganisation sowie eine gute interne und externe Kommunikation. Das Aufspüren von Sicherheitslücken ist das Ziel dieser Sicherheitsuntersuchung … weiterelesen
Es gibt zahlreiche Security Tools die Open Source sind und deshalb kostenfrei genutzt werden können. Das auch ausgebildete Pentester auf zahlreiche dieser Tools zurückgreifen ist kein Geheimnis. Das SANS-Institut hat eine beachtliche Liste an Werkzeugen aufgelistet, die dabei helfen das IT-Sicherheitsniveau – auf unterschiedlichen Ebenen – zu ermitteln und im … weiterelesen
Alle paar Jahre veröffentlich OWASP eine Liste mit den häufigst vorkommenden Schwachstellen in Webanwendungen. Nun wurde ein neuer Entwurf veröffentlicht, der einige Änderungen mit sich bringt, im Gegensatz zu der OWASP Top 10 Liste aus dem Jahr 2017. Was ist eigentlich OWASP und die Top 10? OWASP steht für Open … weiterelesen
Beginnt man sich mit dem Thema IT-Sicherheit und Penetrationstest auseinanderzusetzen, hört man schnell, dass es nicht ohne Linux geht. Mit Parrot OS und Kali Linux werden zwei Distributionen bereitgestellt, die sich vor allem an Penetrationstester richtet. Doch ist Linux für Pentesting wirklich Pflicht oder kann eher als Empfehlung angesehen werden? … weiterelesen
Mit den vorhergehenden Blogbeiträgen zu den anderen Penetrationsteststools von Hak5 wurde bereits gezeigt, dass die Tools vielseitige Angriffs- und Testmöglichkeiten bieten. Es gibt jedoch noch ein weiteres Gerät, die Lan Turtle. Diese stellt eine weitere USB-Angriffsplattform dar. USB zu LAN mit der Lan Turtle Die Lan Turtle ist eine weitere … weiterelesen
In einem Penetrationstest wird ein System oder eine Anwendung auf viele verschiedene Schwachstellen überprüft. Eine dieser Schwachstellen ist XXE, XML-External-Entity. Wir haben einmal zusammengefasst, was XXE ist und welche Auswirkung diese Schwachstelle haben kann. Die XXE Schwachstelle XXE ist eine Injection Schwachstelle und so weit verbreitet, dass dieser Schwachstellen-Typ eine … weiterelesen
Mit den anderen Pentesting Tools wie dem Rubber Ducky und dem Bash Bunny haben wir bereits gezeigt, wie gefährlich Angriffe über eine USB-Angriffs-Plattform sein können. Der Shark Jack ist ebenfalls ein Pentesting Tool, welcher jedoch ohne einen USB-Port an einem Computer auskommt. Dieses Tool macht jede Netzwerkbuchse in einem Unternehmen … weiterelesen
Informationen
Ressourcen
