Warum sollte man Sicherheitsvorkehrungen für einen Pentest deaktvieren?!? #pentestwissen
#pentestwissen Diese Frage stellte mir ein Interessent (m/w/d) neben vielen weiteren bei einem Vorgespräch zum Thema Penetrationstests. Was gemeint ist und wieso er die Frage gestellt hat, wird in diesem Beitrag näher beleuchtet.
Penetrationstests von EBICS Schnittstellen und Webservices
Electronic Banking Internet Communication Standard (=EBICS) ist ein in Deutschland von der deutschen Kreditwirtschaft definierter, multibankfähiger Standard zur Übertragung von Zahlungsverkehrsdaten über das Internet. Er hat den veralteten BCS-Standard abgelöst. Stark vereinfacht gesprochen werden dabei XML-Nachrichten definiert, die verschlüsselt und signiert meist über eine per TLS gesicherte Webservice-Schnittstelle zu den Banksystemen übertragen werden.
Nahezu jede Bank in Deutschland bietet eine über das Internet für jedermann erreichbare Schnittstelle nach diesem Standard an, um den Zahlungsverkehr über das Internet abwickeln zu können. Folglich unterliegen auch diese Schnittstellen der Regulierung und es müssen in regelmäßigen Abständen Sicherheitsüberprüfungen, z. B. in Form eines Penetrationstests, durchgeführt werden, um Schwachstellen und damit verbundene Risiken zu identifizieren.
Am Donnerstag, den 5. Juli 2018 treffen sich 1.800 Teilnehmer im Kultur- & Kongresszentrum Liederhalle (KKL) in Stuttgart zum Java Forum Stuttgart (JFS). Das JFS ist eine jährliche, eintägige Konferenz mit Java als Leitmotiv. Das JFS ist in erster Linie für Entwickler konzipiert, ist aber ebenso der Entscheidungskompetenz der Besucher förderlich. Das Forum bietet den Teilnehmern die Möglichkeit, sich umfassend […]
weiterlesen …
Fachartikel „Penetrationstests in Großunternehmen“
secuvera führt seit dem Jahr 2000 Penetrationstests durch, seit 2012 sind wir BSI-zertifizierte IT-Sicherheitsdienstleister für Penetrationstests. Mit vielen Kunden haben wir Rahmenverträge und projektieren viele Einzelprüfungen innerhalb der Organisationsstrukturen dieser Konzerne. Dabei „stolpern“ die Projekte häufig genug über vergleichbare Probleme, die sich manchmal mit wenigen Änderungen vermeiden lassen. Tobias Glemser, Geschäftsführer der secuvera und BSI-zertifizierter Penetrationstester, beschreibt in seinem Artitkel […]
weiterlesen …
heise DevSec Konferenz – Vortrag zur Planung von Penetrationstests
Am 25. und 26. Oktober 2017 fand in Heidelberg die erste heise DevSec Konferenz statt. Auf der Konferenz trafen sich Sicherheitsexperten, sowie Entwickler und Architekten, die das Thema Security im Fokus haben oder sich darin einarbeiten wollen. Die Themenbereiche waren mit sicherem Entwurf sowie sicherer Implementierung und Integration von Software, Angriffsszenarien und Bedrohungsanalyse, Risikobewertung und risikoorientierte Testplanung sehr umfangreich und […]
weiterlesen …
