Senior Pentesting Only bei binsec: Warum wir Juniors woanders ausbilden

Leave a Comment

In der IT-Security-Branche herrscht Fachkräftemangel, und der Impuls vieler Firmen ist es, Junior Penetrationstester direkt in Kundenprojekte einzubinden. Bei der binsec GmbH haben wir uns bewusst gegen diesen Weg entschieden. In unseren wichtigsten Kernbereichen, nämlich Banken, Payment, Versicherungswesen, KRITIS-Kunden, Medizingeräte, ist „Training on the Job“ am Kundenobjekt operativ und haftungsrechtlich nicht vertretbar. Das Risikoprofil unserer … [Read more…]

BACPP-Zertifikat: Offizielle Anerkennung durch das BSI

Leave a Comment

Seit 2018 gibt es das BACPP-Zertifikat der binsec academy GmbH, jetzt folgt der offizielle „Ritterschlag“: „Ritterschlag“: Der BACPP (Binsec Academy Certified Pentest Professional) wird ab sofort vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als qualifizierter Nachweis für die Kompetenz von Penetrationstestern anerkannt und entsprechend gelistet. Was wir seit Jahren praktizieren, hat nun das behördliche … [Read more…]

Pentest Collective: Spezialisierungen statt Einheitsbrei

Leave a Comment

Die Zeit der Generalisten ist vorbei. Wer behauptet, vom Webshop-Scan bis zur State-Actor-Simulation alles mit einem Team abzudecken, liefert meistens nur unangepassten Durchschnitt. Deshalb haben wir das Pentest Collective gegründet – ein Ökosystem aus spezialisierten Einheiten für die Umsetzung sehr spezifischer Kundenanforderungen. Hinter dem Kollektiv steht die binsec group GmbH. Sie fungiert als das strategische … [Read more…]

Was früher PHP war, ist heute Vibe Coding

Leave a Comment

Es gab diesen Moment schon einmal. Als PHP groß wurde, hat sich Webentwicklung schlagartig verändert. Plötzlich konnte gefühlt jeder eine Website bauen. Ein bisschen Copy & Paste, ein paar Tutorials, günstiges Hosting und das Ergebnis war live. Die Einstiegshürde ist massiv gefallen. Geschwindigkeit und Innovation sind gestiegen. Das Internet ist explodiert. Vieles hat funktioniert. Weniges … [Read more…]

Eine handverlesene Auswahl an Pentest-Anbietern

Leave a Comment

Der Markt für Pentest-Anbieter ist groß. Zu groß. Zwischen automatisierten Scans, generischen Reports und echten, tiefgehenden Penetrationstests liegen deutliche Unterschiede. Wer einen solchen Dienstleister auswählt, entscheidet am Ende darüber, ob lediglich Compliance erfüllt wird oder ob reale Sicherheitsrisiken aufgedeckt werden. Diese Auswahl ist bewusst subjektiv und handverlesen. Sie basiert nicht auf Marketingversprechen, sondern auf Positionierung, … [Read more…]

Exfilion – Offensive Security mit echtem Angreifer-Mindset auf Elite Level

Leave a Comment

Viele Pentest-Anbieter liefern saubere Reports, klare Findings und am Ende doch nur eine eingeschränkte Antwort auf die entscheidende Frage. Was passiert, wenn jemand wirklich angreift? Genau hier setzt Exfilion an. Exfilion ist eine spezialisierte Boutique für Offensive Security mit Fokus auf Exploit Development, Red Teaming und tiefgehende Penetrationstests. Der Anspruch ist klar definiert. Sicherheit muss … [Read more…]

OWASP ZAP: Stark für den Einstieg, selten erste Wahl im Pentest-Alltag

Leave a Comment

OWASP ZAP gehört zu den bekanntesten Tools im Web-Pentesting. Viele kommen früher oder später damit in Kontakt. In Trainings, Labs oder ersten eigenen Tests ist es oft eines der ersten Werkzeuge überhaupt. Im professionellen Pentesting spielt ZAP dagegen meist eine kleinere Rolle. Was ist OWASP ZAP? OWASP ZAP ist ein Open-Source-Proxy zur Analyse und Manipulation … [Read more…]

OWASP Top 10 und CWE Top 25 – zwei Perspektiven auf Software-Schwachstellen

Leave a Comment

Im Umfeld der Anwendungssicherheit tauchen zwei Referenzen besonders häufig auf: die OWASP Top 10 und die CWE Top 25 Most Dangerous Software Weaknesses. Beide Listen werden regelmäßig in Security-Guidelines, Schulungen oder Pentest-Berichten erwähnt und sollen typische Sicherheitsprobleme in Software sichtbar machen. Auf den ersten Blick scheinen beide Listen dasselbe zu behandeln: häufige Schwachstellen in Software. … [Read more…]

PTES – Struktur für Pentests, aber kein vollständiger Standard

Leave a Comment

Der Penetration Testing Execution Standard (PTES) beschreibt eine strukturierte Methodik für die Durchführung von Penetrationstests. Ziel des Standards ist es, typische Projektphasen eines Pentests zu definieren und damit einen nachvollziehbaren Ablauf von der Planung bis zur Dokumentation der Ergebnisse zu schaffen. Der Standard entstand um 2010 als gemeinschaftliche Initiative von Sicherheitsexperten. PTES wird bis heute … [Read more…]

Hackeroo | Ethical Hacking, Penetration Testing, Red Teaming

Leave a Comment

Keine Agentur, kein Buzzword-Bingo, keine Compliance-Show. Sondern ein Team von Ethical Hackern, das Sicherheit aus der Perspektive realer Angreifer denkt: Der Fokus liegt klar auf manuellem Security Testing: Web-Anwendungen, APIs, Infrastrukturen und Cloud-Umgebungen. Automatisierte Tools sind dabei nur der Einstieg. Die relevanten Findings entstehen durch Erfahrung, Kreativität und das Denken wie ein echter Angreifer. Hackeroo … [Read more…]