binsec wiki

Lieber Teilnehmer, liebe Teilnehmerin, zuallererst möchten wir Sie in unserem Online-Kurs „Pentest Training“ willkommen heißen. Bevor Sie jetzt Ihre Finger …

Spezialkräfte in der IT-Sicherheit sind gefragt wie nie. Die Bedrohung durch Angreifer aus dem Internet wächst stetig. Damit sich Unternehmen …

Bevor unsere Reise als Penetration-Tester beginnen kann, brauchen wir erst einmal ein Ziel vor Augen. Ein Langstreckenläufer wird auch nicht …

Aus den rechtlichen Rahmenbedingungen können wir eine folgenreiche Erkenntnis gewinnen: Hacking unterscheidet sich von Penetration-Testing. Wie wir bereits indirekt im …

Hacker sind unberechenbar. Im Normalfall bleibt uns sowohl ihre Identität unbekannt als auch die Anzahl von Angreifern, welche es beispielsweise …

In Österreich können zur strafrechtlichen Verfolgung von Computerkriminalität mehrere Tatbestände herangezogen werden. In Bezug auf Penetration-Testing werden wir kurz den …

Die Gesetzeslage in Deutschland ähnelt der österreichischen Rechtsprechung. Denn in Deutschland wurde zur strafrechtlichen Verfolgung von Computerkriminalität im Mai 2007 …

Nachdem wir gelernt haben, wie Hacker arbeiten und wie wir einen Hackerangriff klassifizieren, stellt sich die Frage, was die Simulation …

Üblicherweise unterscheidet sich die Qualität eines Produkts von Dienstleister zu Dienstleister. Dies gilt natürlich auch für Pentests. Wir hatten bereits …

Bisher haben wir die technischen Verfahren, die ein Angreifer nutzt, als einzelne Puzzlestücke betrachtet, welche für das Gesamtbild noch zusammengesetzt …

In den vorangegangenen Kapiteln haben wir nichttechnische, aber essenzielle Aspekte eines Pentests kennengelernt: Dieser Test ist formal die Durchführung einer …

Die Oblivius Education Inc. ist ein fiktives Start-up-Unternehmen, welches mobile Anwendungen zur Erstellung von Spickzetteln entwickelt. Der Spickzettel zu einem …

Zur Identifikation der erreichbaren IT-Systeme innerhalb des Netzbereichs wurde mittels nmap ein Pingscan durchgeführt, dem zufolge zwei IT-Systeme aktiv waren: …

Neben gezielten DNS-Abfragen erfolgte eine Suche nach bekannten Schwachstellen – anhand der Versionsnummer des Nameservers. Es handelte sich dabei um …

Über die SQL-Injection im Blog der Oblivius Education Inc. konnte nicht nur die Datenbankversion ermittelt, sondern jeglicher Datenbankinhalt extrahiert werden. …

Es kann sehr fesselnd sein, in der Rolle eines Angreifers in fremde IT-Systeme einzudringen. Wir sollten dabei jedoch nie unser …

Wir erinnern uns kurz an den Anfang unserer Reise als Pentester zurück: Unser Auftraggeber hat uns gebeten, nach Schwachstellen in …

Die Hackergruppe „Black Shadow“ ... Bis dato war die Hackergruppe Black Shadow für Kreditkartenbetrug bekannt, über welchen sie sich finanziell …

Pentesting lernen Entdecken Sie die Welt des Penetration Testing. Lernen Sie Netzwerke zu infiltrieren sowie erfolgreich Systeme und Anwendungen zu …

In manchen Fällen müssen wir bei einem Pentest die Netzbereiche eines Unternehmens selbst identifizieren. Dies wäre im Falle eines reinen …

Zur Identifikation der erreichbaren Server in einem Netzbereich kann nmap mittels ICMP einen Ping-Sweep durchführen. Hierbei wird an jede IP-Adresse …

Nachdem wir jetzt offene Ports bzw. erreichbare Dienste auf einem Zielsystem identifizieren können, können wir auch mit diesen kommunizieren. In …

Einen wichtigen Hinweis über die Aufgabe eines Zielsystems kann dessen Domain-Name geben: Da sich Menschen nur sehr schwer eine zufällige …

In der heutigen Zeit darf das Scannen von Netzwerken nicht mehr auf IPv4-Netze reduziert werden. Viele Unternehmen steigen nach und …

Das Scannen von Netzwerken ist – wie wir nun wissen – für uns das Fundament eines jeden Angriffs, da wir …

Netzwerkdienste authentifizieren ihre Benutzer meist mittels eines Benutzernamens und des zugehörigen Passworts. Sofern uns die Existenz eines Benutzers bekannt ist, …

Im Gegensatz zu den Online-Passwortangriffen liegen uns die Hashes der Benutzerpasswörter vor. Eine kryptografische Hashfunktion spiegelt dabei eine Einwegfunktion wider, …

Eine Benutzerauthentifikation via Passwort finden wir oft in Webanwendungen wieder. Hierbei können den einzelnen Benutzern verschiedene Rollen zugewiesen sein. Zum …

Unter den drei häufigsten Schwachstellen in Webanwendungen befinden sich gemäß den OWASP TOP 10 die Injections. Zu diesen gehören u. …

Zu den Injection-Angriffen gehört neben der SQL-Injection auch Cross-Site-Scripting. Durch Cross-Site-Scripting lässt sich aufgrund fehlender Eingabevalidierung beliebiger Scriptcode in die …

Unsere erste Etappe als Angreifer haben wir erfolgreich gemeistert: die Befehlsausführung auf unserem Zielsystem. In der Mehrheit aller Fälle werden …

Die Phase der Informationssammlung ist uns auch hierbei ein treuer Begleiter. Im Detail benötigen wir Informationen über die Konfiguration des …

Insbesondere für ältere Betriebssysteme existieren oft sog. local root exploits, welche zur Privilegienausweitung Schwachstellen im Kernel ausnutzen, wie beispielsweise einen …

Wenn wir einen Exploit lokal auf unserer Angreifermaschine „gebaut“ haben, müssen wir ihn natürlich noch auf das Zielsystem übertragen. Dabei …

Nicht ohne Grund haben wir bei der Privilege-Escalation auch nach Netzwerkinformationen Ausschau gehalten: IT-Infrastrukturen sind häufig in verschiedene Netzwerksegmente aufgeteilt. …

Natürlich können und sollten wir viele Prozesse in einem Pentest automatisieren. So können wir beispielsweise Skripte schreiben, welche Webanwendungen in …

Secure Coding Training der binsec academy GmbH Hier finden Sie die Unterlagen zum Secure Coding Training der binsec academy GmbH. …

Lieber Teilnehmer, liebe Teilnehmerin, zuallererst möchten wir Sie in unserem Online-Kurs „Secure Coding“ willkommen heißen. Bevor Sie jetzt Ihre Finger …

Die Dubius Payment Ltd. ist ein vor Kurzem gegründeter Zahlungsdienstleister. Da das Unternehmen Kreditkarteninformationen in seinen Systemen verarbeitet, unterliegt es …

Wie bei einer Schätzung üblich, werden verschiedene Pentester zu unterschiedlichen Risikobewertungen gelangen, da ihre Wahrnehmung und Erfahrungen uneinheitlich sind – …

Es wäre ein Irrglaube als Pentester anzunehmen, dass aufseiten des Auftraggebers alle Schwachstellen behoben werden. Rein wirtschaftlich gesehen, lohnt sich …

Bei der Durchführung eines Portscans gegen eine IT-Infrastruktur müssen wir als Pentester annehmen, dass über jede IP-Adresse Dienste erreichbar sein …

2021 wurden Berechtigungsfehler zum ersten Mal in der Laufbahn vom OWASP Top 10 Projekt als das größte Risiko in Webanwendungen …