Schlagwort - binsec academy GmbH

Vorwort

Lieber Teilnehmer, liebe Teilnehmerin, zuallererst möchten wir Sie in unserem Online-Kurs „Pentest Training“ willkommen heißen. Bevor Sie jetzt Ihre Finger …

mehr

Einführung

Spezialkräfte in der IT-Sicherheit sind gefragt wie nie. Die Bedrohung durch Angreifer aus dem Internet wächst stetig. Damit sich Unternehmen …

mehr

Rechtliche Rahmenbedingungen

Bevor unsere Reise als Penetration-Tester beginnen kann, brauchen wir erst einmal ein Ziel vor Augen. Ein Langstreckenläufer wird auch nicht …

mehr

Hacking vs. Penetration-Testing

Aus den rechtlichen Rahmenbedingungen können wir eine folgenreiche Erkenntnis gewinnen: Hacking unterscheidet sich von Penetration-Testing. Wie wir bereits indirekt im …

mehr

Klassifizierung

Hacker sind unberechenbar. Im Normalfall bleibt uns sowohl ihre Identität unbekannt als auch die Anzahl von Angreifern, welche es beispielsweise …

mehr

Österreich

In Österreich können zur strafrechtlichen Verfolgung von Computerkriminalität mehrere Tatbestände herangezogen werden. In Bezug auf Penetration-Testing werden wir kurz den …

mehr

Deutschland

Die Gesetzeslage in Deutschland ähnelt der österreichischen Rechtsprechung. Denn in Deutschland wurde zur strafrechtlichen Verfolgung von Computerkriminalität im Mai 2007 …

mehr

Aussagekraft von Penetrationstest

Nachdem wir gelernt haben, wie Hacker arbeiten und wie wir einen Hackerangriff klassifizieren, stellt sich die Frage, was die Simulation …

mehr

Penetration-Testing-Standards

Üblicherweise unterscheidet sich die Qualität eines Produkts von Dienstleister zu Dienstleister. Dies gilt natürlich auch für Pentests. Wir hatten bereits …

mehr

Vorführung eines Pentests

Bisher haben wir die technischen Verfahren, die ein Angreifer nutzt, als einzelne Puzzlestücke betrachtet, welche für das Gesamtbild noch zusammengesetzt …

mehr

Der Hacking-Leitfaden

In den vorangegangenen Kapiteln haben wir nichttechnische, aber essenzielle Aspekte eines Pentests kennengelernt: Dieser Test ist formal die Durchführung einer …

mehr

Phase 1: Identifikation der Netzbereiche

Die Oblivius Education Inc. ist ein fiktives Start-up-Unternehmen, welches mobile Anwendungen zur Erstellung von Spickzetteln entwickelt. Der Spickzettel zu einem …

mehr

Phase 2: Identifikation der erreichbaren Server und Dienste

Zur Identifikation der erreichbaren IT-Systeme innerhalb des Netzbereichs wurde mittels nmap ein Pingscan durchgeführt, dem zufolge zwei IT-Systeme aktiv waren: …

mehr

Phase 3: Identifikation von Schwachstellen

Neben gezielten DNS-Abfragen erfolgte eine Suche nach bekannten Schwachstellen – anhand der Versionsnummer des Nameservers. Es handelte sich dabei um …

mehr

Phase 4: Ausnutzung von Schwachstellen

Über die SQL-Injection im Blog der Oblivius Education Inc. konnte nicht nur die Datenbankversion ermittelt, sondern jeglicher Datenbankinhalt extrahiert werden. …

mehr

Risikobewertung von identifizierten Schwachstellen

Es kann sehr fesselnd sein, in der Rolle eines Angreifers in fremde IT-Systeme einzudringen. Wir sollten dabei jedoch nie unser …

mehr

Aufbau Dokumentation und Berichterstellung

Wir erinnern uns kurz an den Anfang unserer Reise als Pentester zurück: Unser Auftraggeber hat uns gebeten, nach Schwachstellen in …

mehr

Plauderei aus dem Nähkästchen: Insights von Dubius Payment Ltd.

Die Hackergruppe „Black Shadow“ ... Bis dato war die Hackergruppe Black Shadow für Kreditkartenbetrug bekannt, über welchen sie sich finanziell …

mehr

Pentest Training

Pentesting lernen Entdecken Sie die Welt des Penetration Testing. Lernen Sie Netzwerke zu infiltrieren sowie erfolgreich Systeme und Anwendungen zu …

mehr

Hacking I: Scannen von Netzwerken

In manchen Fällen müssen wir bei einem Pentest die Netzbereiche eines Unternehmens selbst identifizieren. Dies wäre im Falle eines reinen …

mehr

Tool-Vorstellung: nmap

Zur Identifikation der erreichbaren Server in einem Netzbereich kann nmap mittels ICMP einen Ping-Sweep durchführen. Hierbei wird an jede IP-Adresse …

mehr

Tool-Vorstellung: netcat

Nachdem wir jetzt offene Ports bzw. erreichbare Dienste auf einem Zielsystem identifizieren können, können wir auch mit diesen kommunizieren. In …

mehr

Tool-Vorstellung: dig

Einen wichtigen Hinweis über die Aufgabe eines Zielsystems kann dessen Domain-Name geben: Da sich Menschen nur sehr schwer eine zufällige …

mehr

Besonderheiten bei IPv6-Netzen

In der heutigen Zeit darf das Scannen von Netzwerken nicht mehr auf IPv4-Netze reduziert werden. Viele Unternehmen steigen nach und …

mehr

Hacking II: Passwortangriffe

Das Scannen von Netzwerken ist – wie wir nun wissen – für uns das Fundament eines jeden Angriffs, da wir …

mehr

Online-Passwortangriffe

Netzwerkdienste authentifizieren ihre Benutzer meist mittels eines Benutzernamens und des zugehörigen Passworts. Sofern uns die Existenz eines Benutzers bekannt ist, …

mehr

Offline-Passwortangriffe

Im Gegensatz zu den Online-Passwortangriffen liegen uns die Hashes der Benutzerpasswörter vor. Eine kryptografische Hashfunktion spiegelt dabei eine Einwegfunktion wider, …

mehr

Hacking III: Webanwendungsangriffe

Eine Benutzerauthentifikation via Passwort finden wir oft in Webanwendungen wieder. Hierbei können den einzelnen Benutzern verschiedene Rollen zugewiesen sein. Zum …

mehr

SQL-Injections (SQLi)

Unter den drei häufigsten Schwachstellen in Webanwendungen befinden sich gemäß den OWASP TOP 10 die Injections. Zu diesen gehören u. …

mehr

Cross-Site Scripting (XSS)

Zu den Injection-Angriffen gehört neben der SQL-Injection auch Cross-Site-Scripting. Durch Cross-Site-Scripting lässt sich aufgrund fehlender Eingabevalidierung beliebiger Scriptcode in die …

mehr

Hacking IV: Privilegienausweitung

Unsere erste Etappe als Angreifer haben wir erfolgreich gemeistert: die Befehlsausführung auf unserem Zielsystem. In der Mehrheit aller Fälle werden …

mehr

Informationssammlung

Die Phase der Informationssammlung ist uns auch hierbei ein treuer Begleiter. Im Detail benötigen wir Informationen über die Konfiguration des …

mehr

Local Root Exploits

Insbesondere für ältere Betriebssysteme existieren oft sog. local root exploits, welche zur Privilegienausweitung Schwachstellen im Kernel ausnutzen, wie beispielsweise einen …

mehr

Dateiübertragungen

Wenn wir einen Exploit lokal auf unserer Angreifermaschine „gebaut“ haben, müssen wir ihn natürlich noch auf das Zielsystem übertragen. Dabei …

mehr

Hacking V: Tunnel-Techniken

Nicht ohne Grund haben wir bei der Privilege-Escalation auch nach Netzwerkinformationen Ausschau gehalten: IT-Infrastrukturen sind häufig in verschiedene Netzwerksegmente aufgeteilt. …

mehr

Hacking VI: Vulnerability-Scanner und Penetration-Testing-Frameworks

Natürlich können und sollten wir viele Prozesse in einem Pentest automatisieren. So können wir beispielsweise Skripte schreiben, welche Webanwendungen in …

mehr

Secure Coding Training

Secure Coding Training der binsec academy GmbH Hier finden Sie die Unterlagen zum Secure Coding Training der binsec academy GmbH. …

mehr

Vorwort

Lieber Teilnehmer, liebe Teilnehmerin, zuallererst möchten wir Sie in unserem Online-Kurs „Secure Coding“ willkommen heißen. Bevor Sie jetzt Ihre Finger …

mehr

Insights der Dubius Payment Ltd.

Die Dubius Payment Ltd. ist ein vor Kurzem gegründeter Zahlungsdienstleister. Da das Unternehmen Kreditkarteninformationen in seinen Systemen verarbeitet, unterliegt es …

mehr

Common Vulnerability Scoring System (CVSS)

Wie bei einer Schätzung üblich, werden verschiedene Pentester zu unterschiedlichen Risikobewertungen gelangen, da ihre Wahrnehmung und Erfahrungen uneinheitlich sind – …

mehr

Strategien zur Risikobehandlung

Es wäre ein Irrglaube als Pentester anzunehmen, dass aufseiten des Auftraggebers alle Schwachstellen behoben werden. Rein wirtschaftlich gesehen, lohnt sich …

mehr

Tool-Vorstellung: masscan

Bei der Durchführung eines Portscans gegen eine IT-Infrastruktur müssen wir als Pentester annehmen, dass über jede IP-Adresse Dienste erreichbar sein …

mehr

Fehlerhaftes Berechtigungsmanagement

2021 wurden Berechtigungsfehler zum ersten Mal in der Laufbahn vom OWASP Top 10 Projekt als das größte Risiko in Webanwendungen …

mehr

binsec academy GmbH - Online IT Security Training with Practical Focus

Die binsec academy GmbH ist ein Anbieter von praxisorientierten Online-Trainings im Bereich IT-Sicherheit. Das Schulungsangebot umfasst unter anderem Penetration Testing und sichere Softwareentwicklung. Die Teilnehmer lernen in realitätsnahen Laborumgebungen, die typische IT-Infrastrukturen und Anwendungen simulieren. Die Kurse beinhalten anerkannte Standards wie den OWASP Top 10 und PCI DSS und sind in mehreren Programmiersprachen verfügbar. Nach erfolgreichem Abschluss erhalten die Teilnehmenden Zertifikate wie den Binsec Academy Certified Pentest Professional (BACPP) oder den Binsec Academy Certified Secure Coding Professional (BACSCP), die ihre praktischen Fähigkeiten zur Erkennung und Behebung von Sicherheitslücken belegen.

Gehe zu binsec acadmy GmbH

binsec GmbH – Experten für Penetrationstests

Die binsec GmbH ist ein deutsches IT-Sicherheitsunternehmen mit Schwerpunkt auf professionellen Penetrationstests. Mit über 10 Jahren Erfahrung führt das Team tiefgehende Sicherheitsprüfungen von Netzwerken, Webanwendungen, APIs und mobilen Apps durch. Zertifizierte Experten identifizieren und dokumentieren systematisch Sicherheitslücken, um Unternehmen dabei zu unterstützen, ihre IT-Sicherheit zu verbessern und Compliance-Anforderungen zu erfüllen.

Gehe zu binsec GmbH

Kontakt

binsec GmbH
Solmsstraße 41
60486 Frankfurt am Main
Germany

Impressum

Geschäftsführer: Patrick Sauer
Prokurist: Dominik Sauer, Florian Zavatzki
Handelsregister: Frankfurt am Main, HRB97277
Umsatzsteuer-ID: DE290966808