Special Guest auf der secIT Special
Die Online-Konferenz SecIT Special by Heise ist eine themenspezifische Erweiterung zur bekannten SecIT by Heise. Am 09.12.2021 wird das letzte „Special“ für dieses Jahr stattfinden. Geplant sind spannende Vorträge von ausgewählten Experten rund um das Thema „Hacking for Security – Was Sicherheitstests für Unternehmen bringen„. Nach den Vorträgen wird um 16 Uhr eine Podiumsdiskussion zu „Trügerische Sicherheit durch Hacking […]
weiterlesen …
Im Rahmen eines Penetrationstests für einen unserer langjährigen Kunden durfte ich ein neues Arbeitsplatzsystem vor dem Roll-Out analysieren👨🏻💻. Dabei konnte ich unterschiedliche Wege identifizieren, um als nicht authentifizierter Angreifer Zugang zum Arbeitsplatz zu erhalten. Einer der Wege stand im Zusammenhang mit dem Werkzeug NetSetMan der gleichnamigen Firma. In diesem Blogpost beleuchte ich, wie ich, durch (aus Kunden- und Herstellersicht) unglückliche […]
weiterlesen …
Besonderes elektronisches Anwaltspostfach (beA): Sicherheitsgutachten für den Betriebsübergang veröffentlicht
Das Gutachten steht zum Download bereit. Es wurden mehrere Befunde attestiert. Es konnte jedoch kein Risiko für die Sicherheit der beA-Anwendung durch den Betriebsübergang festgestellt werden. Das besondere elektronische Anwaltspostfach (beA) ist ein elektronisches Postfach für Rechtsanwälte und wird durch die Bundesrechtsanwaltskammer (BRAK) bereitgestellt. Mitte Juli 2020 wurde durch die WesRoc GbR plangemäß der Betrieb des beA von der bisherigen […]
weiterlesen …
White Box Red Teaming
Immer mehr Kunden fragen uns gezielt nach Red Teaming. Beim Red Teaming werden im Gegensatz zu Penetrationstests Angriffe nicht vorab festgelegt. Vielmehr entscheiden die Prüfer, welche Angriffe durchgeführt werden. Bei Penetrationstests werden Schwachstellen detektiert, beim Red Teaming werden sie ausgenutzt. Die Schwachstellen werden dabei auf Produktivsystemen ausgenutzt, was ein enormes Risiko bedeutet. Für ein Red Teaming benötigt man ein Blue […]
weiterlesen …
In Ausgabe 1-2019 berichtet Tobias Glemser über Planungsaspekte und Stolpersteine bei der Prüfung von Webanwendungen durch Penetrationstests. Der Artikel beleuchtet die wichtigsten Planungsaspekte wie die Prüfung von Rollen- und Rechtemodellen, Umgang mit Web-Application-Firewalls und CAPTCHAs. Die JAVAPRO ist kostenlos auf der Webseite der Zeitschrift bestellbar.