Vortrag bei der Java User Group Stuttgart zu Penetrationstests
„Penetrationstests – Planungsaspekte, Stolpersteine und Nutzen in der Praxis“ lautet der Titel eines Vortrags von Tobias Glemser, BSI-zertifizierter Penetrationstester und Geschäftsführer der secuvera, bei der Java User Group Stuttgart. „Penetrationstests“ – eine Angriffssimulation. In vielen Unternehmen bereits etabliert, vielen Unternehmen unbekannt. Was ist denn nun eigentlich ein Penetrationstests? Welche Prüfungsarten und -objekte gibt es? Der Vortrag definiert aus der Praxis […]
weiterlesen …
secuvera-SA-2017-01 Privilege Escalation in OPSI-Umgebungen (“Rise of the Machines”)
Im Rahmen des intern stattfindenden LabDays habe ich das quelloffene Client-Management-Werkzeugs „Open PC Server Integration“ (=OPSI) der Firma uib GmbH aus Mainz bzw. die auf den Clients ausgebrachte Komponente „opsiclientagent“ mittels Pentesting-Methoden näher unter die Lupe genommen. Dabei konnte ich eine Schwäche identifizieren, die es mir erlaubt, Befehle auf anderen Systemen auszuführen. Dadurch war ich schließlich in der Lage, administrativen […]
weiterlesen …
Episode 5 – TR-02102-2 und NGINX
Dieser Blog Post ist Teil der Blogserie zur TLS-Konfiguration – Technische Richtlinie TR-02102-2 des BSI. In Episode 1 habe ich erläutert, was der Richtlinie zweiter Teil empfiehlt. In dieser Episode möchte ich veranschaulichen, wie man das mit einem NGINX Webserver umsetzt. Dafür habe ich in unserer Testumgebung einen NGINX auf einem Ubuntu Server 16.04.1 installiert. Wichtig: Ich setze in diesem […]
weiterlesen …
Episode 4 – TR-02102-2 und Microsoft™ Internet Information Service (IIS)
Dieser Blog Post ist Teil der Blogserie zur TLS-Konfiguration – Technische Richtlinie TR-02102-2 des BSI. In Episode 1 habe ich erläutert, was der Richtlinie zweiter Teil empfiehlt. In dieser Episode möchte ich veranschaulichen, wie man das mit einem IIS Webserver umsetzt. Dafür habe ich in unserer Testumgebung einen deutschen Windows Server 2008 R2 mit installiertem IIS hergenommen. Ich beschreibe daher […]
weiterlesen …
Episode 3 – TR-02102-2 und Postfix
Dieser Blogpost ist Teil der Blogserie zur TLS-Konfiguration – Technische Richtlinie TR-02102-2 des BSI. In Episode 1 habe ich erläutert, was der Richtlinie zweiter Teil empfiehlt. In Episode 2 wurden die Empfehlungen beim Apache HTTP Webserver umgesetzt. In diesem Teil möchte ich veranschaulichen, wie man das mit einem zum Zeitpunkt der Erstellung dieses Dokuments aktuellem Mail Transfer Agent (MTA) Postfix […]
weiterlesen …