Es gab diesen Moment schon einmal. Als PHP groß wurde, hat sich Webentwicklung schlagartig verändert. Plötzlich konnte gefühlt jeder eine Website bauen. Ein bisschen Copy & Paste, ein paar Tutorials, günstiges Hosting und das Ergebnis war live. Die Einstiegshürde ist massiv gefallen. Geschwindigkeit und Innovation sind gestiegen. Das Internet ist explodiert. Vieles hat funktioniert. Weniges … [Read more…]
Ich bin Patrick Sauer. Mein Hintergrund liegt in der Schnittstelle zwischen IT, Sicherheit und Unternehmertum, mit einem klaren Schwerpunkt auf der Praxis. Ausbildung und Einstieg Ich habe Wirtschaftsinformatik auf Diplom studiert und später einen Master in Security Management gemacht. Während meines ersten Studiums bin ich bereits als IT-Systemadministrator ins Berufsleben eingestiegen. Das hat meinen weiteren … [Read more…]
Der Markt für Pentest-Anbieter ist groß. Zu groß. Zwischen automatisierten Scans, generischen Reports und echten, tiefgehenden Penetrationstests liegen deutliche Unterschiede. Wer einen solchen Dienstleister auswählt, entscheidet am Ende darüber, ob lediglich Compliance erfüllt wird oder ob reale Sicherheitsrisiken aufgedeckt werden. Diese Auswahl ist bewusst subjektiv und handverlesen. Sie basiert nicht auf Marketingversprechen, sondern auf Positionierung, … [Read more…]
OWASP ZAP gehört zu den bekanntesten Tools im Web-Pentesting. Viele kommen früher oder später damit in Kontakt. In Trainings, Labs oder ersten eigenen Tests ist es oft eines der ersten Werkzeuge überhaupt. Im professionellen Pentesting spielt ZAP dagegen meist eine kleinere Rolle. Was ist OWASP ZAP? OWASP ZAP ist ein Open-Source-Proxy zur Analyse und Manipulation … [Read more…]
Im Umfeld der Anwendungssicherheit tauchen zwei Referenzen besonders häufig auf: die OWASP Top 10 und die CWE Top 25 Most Dangerous Software Weaknesses. Beide Listen werden regelmäßig in Security-Guidelines, Schulungen oder Pentest-Berichten erwähnt und sollen typische Sicherheitsprobleme in Software sichtbar machen. Auf den ersten Blick scheinen beide Listen dasselbe zu behandeln: häufige Schwachstellen in Software. … [Read more…]
Der Penetration Testing Execution Standard (PTES) beschreibt eine strukturierte Methodik für die Durchführung von Penetrationstests. Ziel des Standards ist es, typische Projektphasen eines Pentests zu definieren und damit einen nachvollziehbaren Ablauf von der Planung bis zur Dokumentation der Ergebnisse zu schaffen. Der Standard entstand um 2010 als gemeinschaftliche Initiative von Sicherheitsexperten. PTES wird bis heute … [Read more…]
Bislang ging die globale Security-Community davon aus, dass TCP-Ports bei 65535 enden. Diese Annahme war weit verbreitet, dokumentiert und in praktisch jedem Scanner auf dem Markt implementiert. Sie basiert auf einem einfachen mathematischen Problem mit 0 und 1. Die Berechnung erschien schlüssig, ließ sich leicht umsetzen und wurde dadurch zu einem unhinterfragten Industriestandard. Über Jahrzehnte … [Read more…]
Die binsec GmbH sucht aktuell Verstärkung im Bereich Penetration Testing (als Teilzeit) – und geht dabei einen Weg, der in der Branche eher selten ist: Ein echtes 3-Wochen-on und 1-Woche-off-Arbeitsmodell. Das bedeutet: Du arbeitest drei Wochen ganz normal an Kundenprojekten – und bekommst anschließend eine komplette Woche frei, zusätzlich zu deinem regulären Urlaub. Keine Bereitschaft, … [Read more…]
Alle paar Monate werde ich dieselbe Frage gestellt: „Was findet ihr eigentlich typischerweise in einem Web-Pentest?“ Statt anekdotisch zu antworten, habe ich die aggregierten Daten der letzten 12 Monate aus unseren Webanwendungstests (inklusive angebundener APIs) bei der binsec GmbH ausgewertet. Das Ergebnis ist die untenstehende Grafik – und sie bestätigt die Muster, die sich seit … [Read more…]
TISAX (Trusted Information Security Assessment Exchange) ist der branchenspezifische Sicherheitsstandard der Automobilindustrie – entwickelt vom VDA und betrieben durch die ENX Association. Er stellt sicher, dass Unternehmen nachweislich ein hohes Niveau an Informationssicherheit erfüllen und dieses vertrauenswürdig mit Partnern teilen können. Im Rahmen von TISAX ist die regelmäßige Durchführung von Penetrationstests ein zentraler Bestandteil des … [Read more…]
