Blog

13. März 2019

Warum Metadaten eine Gefährdung darstellen können

In Daten sind allerhand mehr oder weniger versteckte Informationen enthalten, die für die falschen Leute eine wichtige Informationsquelle darstellen können. Oder aber Metadaten können ein weiteres Einfallstor für Angriffe einer IT-Anwendung sein. In diesem Beitrag beleuchte ich, warum es wichtig ist, sich dessen bewusst zu sein. Anlass dazu gaben mir zwei aktuelle beispiele: ein Blog-Post eines Marktbegleiters, der Bilder mit […]
weiterlesen …

26. Februar 2019

Penetrationstest ohne Betriebsrisiko?!

Dass ein Pentest neben vielen Chancen auch Risiken mit sich bringt, muss einem Kunden im Rahmen einer Risikoaufklärung bewusst gemacht werden. Erst letztens wurde im Rahmen der Risikoaufklärung innerhalb einer Auftaktbesprechung die Frage gestellt Der Penetrationstest ist doch dazu da, um Risiken aufzuzeigen – nicht um den Betrieb zu stören. Wie bekommen wir dieses Risiko denn ausgeschlossen? Ein Kunde In […]
weiterlesen …

20. Februar 2019

Warum sollte man Sicherheitsvorkehrungen für einen Pentest deaktvieren?!?

Diese Frage stellte mir ein Interessent (m/w/d) neben vielen weiteren bei einem Vorgespräch zum Thema Penetrationstests. Was gemeint ist und wieso er die Frage gestellt hat, wird in diesem Beitrag näher beleuchtet.

15. Januar 2019

secuvera-SA-2016-01: Mehrere Authentisierungsschwachstellen in Arvato Systems Streamworks

…oder: Die Anfänge von „Rise of the Machines“ Im Mai des Jahres 2016 (!) durfte ich bei einem unserer Kunden eine Lösung zur Automatisierung von Prozessabläufen über Systemgrenzen hinweg im Rahmen eines Penetrationstests prüfen. Dort sind mir dann mehrere Schwachstellen (siehe Advisory) aufgefallen, mit denen ich schlussendlich in die gesteuerten Systemabläufe eingreifen und eigenen Code ausführen konnte. Das war die […]
weiterlesen …

15. Januar 2019

Responsible Disclosure ist nicht immer leicht

Das Entdecken von neuen, unbekannten Schwachstellen macht Spaß, keine Frage. Eher unspaßig ist aber, was man dann als guter Pentester Mensch mit den gewonnenen Informationen anstellt. In diesem Blogpost beleuchte ich Probleme in der Kommunikation zwischen Pentester und Softwarehersteller und möchte auch ein paar Tipps an die Hand geben – für beide Seiten.