Blog

10. August 2018

Domainfactory Hack – „wir tun was wir können“

Die Älteren mögen sich erinnern: „Wir tun was wir können“ ist die Aussage einer völlig überforderten Mitarbeiterin der AOK im Stück „Auslandskrankenschein“ von Michael Mittermeier aus dem Programm „Zapped„. So erging es mir heute mit Domainfactory. Domainfactory ließ eine Dame bei uns anrufen. Sie fragte wie es mir mit Domainfactory so ginge. Man hätte ja Herausforderungen gehabt. Ich habe sie […]
weiterlesen …

3. Juli 2018

secuvera beim Rothaus Mudiator

Am 30. Juni 2018 fand in Horb der erste Rothaus Mudiator (vormals Tough Mudder) statt. Das erste Mal traten Kollegen der secuvera gemeinsam zum 8km langen Hindernislauf an. Respektable 1:11:03 Stunde später auf den Rängen 63 und 64 bzw. Rang 6 und 12 in der jeweiligen Alterklasse, konnte das Finisherbier gemeinsam genossen werden. Die über 20 sehr unterschiedlichen Hindernisse wurden […]
weiterlesen …

11. April 2018

secuvera-SA-2017-03 und secuvera-SA-2017-04: Mehrere Schwachstellen in Inventarisierungssoftware OCS Inventory NG aufgedeckt

Im Rahmen des intern stattfindenden Labdays haben wir das quelloffene Inventory-Management-Werkzeug „Open Computer and Software Repository Next Generation“ (=OCS Inventory NG) der französischen Firma factorfx mittels Pentesting-Methoden näher unter die Lupe genommen. Dabei konnten wir zwei Schwächen in der Webanwendung zur Steuerung der Lösung identifizieren. Eine der beiden Schwachstellen ermöglicht die vollständige Kompromittierung der Datenbank. Mit diesem Blog-Post möchte ich […]
weiterlesen …

8. November 2017

Episode 6: TR-02102-2 und der Apache Tomcat Anwendungsserver

Dieser Blog Post ist Teil der Blogserie zur TLS-Konfiguration – Technische Richtlinie TR-02102-2 des BSI. Diese Episode beschäftigt sich mit der TLS-Konfiguration des Anwendungsservers Apache Tomcat. Wie in den letzten Episoden möchte ich auch in dieser zuerst ausdrücklich darauf hinweisen, dass es eine Möglichkeit und nicht DIE LÖSUNG ist. Da sich die Welt zum Glück ständig dreht, können sich die […]
weiterlesen …

8. August 2017

Microsoft Remote Connectivity Analyzer – ein komisches Ding

Um die Konnektivität einer Exchange-Umgebung zu testen, wird häufig auf den Microsoft Remote Connectivity Analyzer verwiesen. Bei der Fehlersuche unserer Exchange-Konfiguration haben auch wir den Exchange ActiveSync Autodiscover als Teil des Microsoft Remote Connectivity Analyzer verwendet. Problem 1: Man muss, zumindest technisch nachvollziehbar, echte Benutzerdaten verwenden. Meist sind das auch die Zugangsdaten zur Active-Directory-Domäne eines Unternehmens. Es fällt schwer, diese […]
weiterlesen …