Penetrationstests

15. Januar 2019

Responsible Disclosure ist nicht immer leicht

Das Entdecken von neuen, unbekannten Schwachstellen macht Spaß, keine Frage. Eher unspaßig ist aber, was man dann als guter Pentester Mensch mit den gewonnenen Informationen anstellt. In diesem Blogpost beleuchte ich Probleme in der Kommunikation zwischen Pentester und Softwarehersteller und möchte auch ein paar Tipps an die Hand geben – für beide Seiten.

4. Januar 2019

Penetrationstests von EBICS Schnittstellen und Webservices

Electronic Banking Internet Communication Standard (=EBICS) ist ein in Deutschland von der deutschen Kreditwirtschaft definierter, multibankfähiger Standard zur Übertragung von Zahlungsverkehrsdaten über das Internet. Er hat den veralteten BCS-Standard abgelöst. Stark vereinfacht gesprochen werden dabei XML-Nachrichten definiert, die verschlüsselt und signiert meist über eine per TLS gesicherte Webservice-Schnittstelle zu den Banksystemen übertragen werden.
Nahezu jede Bank in Deutschland bietet eine über das Internet für jedermann erreichbare Schnittstelle nach diesem Standard an, um den Zahlungsverkehr über das Internet abwickeln zu können. Folglich unterliegen auch diese Schnittstellen der Regulierung und es müssen in regelmäßigen Abständen Sicherheitsüberprüfungen, z. B. in Form eines Penetrationstests, durchgeführt werden, um Schwachstellen und damit verbundene Risiken zu identifizieren.

3. Juli 2018

Vortrag zur Planung von Penetrationstests auf dem Java Forum Stuttgart

Am Donnerstag, den 5. Juli 2018 treffen sich 1.800 Teilnehmer im Kultur- & Kongresszentrum Liederhalle (KKL) in Stuttgart zum Java Forum Stuttgart (JFS). Das JFS ist eine jährliche, eintägige Konferenz mit Java als Leitmotiv. Das JFS ist in erster Linie für Entwickler konzipiert, ist aber ebenso der Entscheidungskompetenz der Besucher förderlich. Das Forum bietet den Teilnehmern die Möglichkeit, sich umfassend […]
weiterlesen …

11. April 2018

secuvera-SA-2017-03 und secuvera-SA-2017-04: Mehrere Schwachstellen in Inventarisierungssoftware OCS Inventory NG aufgedeckt

Im Rahmen des intern stattfindenden Labdays haben wir das quelloffene Inventory-Management-Werkzeug „Open Computer and Software Repository Next Generation“ (=OCS Inventory NG) der französischen Firma factorfx mittels Pentesting-Methoden näher unter die Lupe genommen. Dabei konnten wir zwei Schwächen in der Webanwendung zur Steuerung der Lösung identifizieren. Eine der beiden Schwachstellen ermöglicht die vollständige Kompromittierung der Datenbank. Mit diesem Blog-Post möchte ich […]
weiterlesen …

8. November 2017

Episode 6: TR-02102-2 und der Apache Tomcat Anwendungsserver

Dieser Blog Post ist Teil der Blogserie zur TLS-Konfiguration – Technische Richtlinie TR-02102-2 des BSI. Diese Episode beschäftigt sich mit der TLS-Konfiguration des Anwendungsservers Apache Tomcat. Wie in den letzten Episoden möchte ich auch in dieser zuerst ausdrücklich darauf hinweisen, dass es eine Möglichkeit und nicht DIE LÖSUNG ist. Da sich die Welt zum Glück ständig dreht, können sich die […]
weiterlesen …