Penetrationstest

Was kostet ein Penetrationstest?

30. August 20221. April 2022 von M.Sc. Chris Wojzechowski

Was kostet ein Penetrationstest? Die Frage nach den monetären Aufwänden für eine Sicherheitsanalyse durch Dritte ist häufig die erste. Die Durchführung eines professionellen Penetrationstest erfordert neben der technischen Grundausstattung auch Know-How, eine geschickte Projektorganisation sowie eine gute interne und externe Kommunikation. Das Aufspüren von Sicherheitslücken ist das Ziel dieser Sicherheitsuntersuchung … weiterelesen

Security Tools – selber für mehr Sicherheit sorgen!

18. Januar 2022 von M.Sc. Chris Wojzechowski

Es gibt zahlreiche Security Tools die Open Source sind und deshalb kostenfrei genutzt werden können. Das auch ausgebildete Pentester auf zahlreiche dieser Tools zurückgreifen ist kein Geheimnis. Das SANS-Institut hat eine beachtliche Liste an Werkzeugen aufgelistet, die dabei helfen das IT-Sicherheitsniveau – auf unterschiedlichen Ebenen – zu ermitteln und im … weiterelesen

OWASP Top 10 – Neuer Entwurf der Top 10 Sicherheitslücken!

14. März 202317. September 2021 von Christian Höfig

Alle paar Jahre veröffentlich OWASP eine Liste mit den häufigst vorkommenden Schwachstellen in Webanwendungen. Nun wurde ein neuer Entwurf veröffentlicht, der einige Änderungen mit sich bringt, im Gegensatz zu der OWASP Top 10 Liste aus dem Jahr 2017. Was ist eigentlich OWASP und die Top 10? OWASP steht für Open … weiterelesen

Linux für Pentesting – Empfehlung oder Pflicht?

17. Januar 202214. Juli 2021 von M.Sc. Jan Hörnemann

Beginnt man sich mit dem Thema IT-Sicherheit und Penetrationstest auseinanderzusetzen, hört man schnell, dass es nicht ohne Linux geht. Mit Parrot OS und Kali Linux werden zwei Distributionen bereitgestellt, die sich vor allem an Penetrationstester richtet. Doch ist Linux für Pentesting wirklich Pflicht oder kann eher als Empfehlung angesehen werden? … weiterelesen

Lan Turtle – Das unscheinbare Fernzugriff-Tool!

5. Januar 202228. April 2021 von Jonas Michl

Mit den vorhergehenden Blogbeiträgen zu den anderen Penetrationsteststools von Hak5 wurde bereits gezeigt, dass die Tools vielseitige Angriffs- und Testmöglichkeiten bieten. Es gibt jedoch noch ein weiteres Gerät, die Lan Turtle. Diese stellt eine weitere USB-Angriffsplattform dar. USB zu LAN mit der Lan Turtle Die Lan Turtle ist eine weitere … weiterelesen

XXE – Der XML-External-Entity Angriff erklärt!

5. Januar 202222. April 2021 von M.Sc. Jan Hörnemann

In einem Penetrationstest wird ein System oder eine Anwendung auf viele verschiedene Schwachstellen überprüft. Eine dieser Schwachstellen ist XXE, XML-External-Entity. Wir haben einmal zusammengefasst, was XXE ist und welche Auswirkung diese Schwachstelle haben kann. Die XXE Schwachstelle XXE ist eine Injection Schwachstelle und so weit verbreitet, dass dieser Schwachstellen-Typ eine … weiterelesen

Shark Jack – Das kleine Gadget für Social Engineering Angriffe!

5. Januar 202221. April 2021 von Jonas Michl

Mit den anderen Pentesting Tools wie dem Rubber Ducky und dem Bash Bunny haben wir bereits gezeigt, wie gefährlich Angriffe über eine USB-Angriffs-Plattform sein können. Der Shark Jack ist ebenfalls ein Pentesting Tool, welcher jedoch ohne einen USB-Port an einem Computer auskommt. Dieses Tool macht jede Netzwerkbuchse in einem Unternehmen … weiterelesen

vCISO – Definition, Vor- und Nachteile des externen CISO

12. Juli 202223. März 2021 von Dr. Matteo Große-Kampmann

Der virtuelle Chief Information Security Officer (vCISO) unterscheidet sich nicht vom Chief Information Security Officer, außer dass er ein externer Sicherheitsberater ist. Er ist nicht in Vollzeit vor Ort. In kleineren deutschen Unternehmen wird auch vom Informationssicherheitsbeauftragten (ISB) gesprochen. Die Position ist in der Organisation verantwortlich für die Informationssicherheit. Was … weiterelesen

Penetration Testing: Einführung und Status Quo

17. Januar 202217. März 2021 von Dr. Matteo Große-Kampmann

Penetration Testing ist die manuelle Überprüfung von Schwachstellen in IT-Systemen. Bei einem Audit werden Sicherheitslücken gemeldet und damit ist der Test beendet. Bei einem Penetration Test werden gefundene Schwachstellen auch ausgenutzt, um ein realistisches Bild der Sicherheit des Unternehmens zu generieren. Moderne Gefahren Durch die zunehmende Digitalisierung und Vernetzung von … weiterelesen

Metasploitable – Die angreifbare Security-Testumgebung!

5. Januar 202215. März 2021 von M.Sc. Jan Hörnemann

Um verschiedene Angriffe durchzuführen oder echte Sicherheitslücken zu finden, fehlt häufig ein geeignetes Ziel. Befindet man sich nicht in einem beauftragten Penetrationstest, ist es strafbar, echte Sicherheitslücken aufzuspüren. Neben den anspruchsvollen Zielen auf Bug-Bounty-Plattformen und kostenpflichtigen Trainingsportalen gibt es mit Metasploitable eine kostenlose Testumgebung, die sich schnell konfigurieren lässt.

weiterelesen