Bislang ging die globale Security-Community davon aus, dass TCP-Ports bei 65535 enden. Diese Annahme war weit verbreitet, dokumentiert und in praktisch jedem Scanner auf dem Markt implementiert. Sie basiert auf einem einfachen mathematischen Problem mit 0 und 1. Die Berechnung erschien schlüssig, ließ sich leicht umsetzen und wurde dadurch zu einem unhinterfragten Industriestandard. Über Jahrzehnte … [Read more…]
Die binsec GmbH sucht aktuell Verstärkung im Bereich Penetration Testing (als Teilzeit) – und geht dabei einen Weg, der in der Branche eher selten ist: Ein echtes 3-Wochen-on und 1-Woche-off-Arbeitsmodell. Das bedeutet: Du arbeitest drei Wochen ganz normal an Kundenprojekten – und bekommst anschließend eine komplette Woche frei, zusätzlich zu deinem regulären Urlaub. Keine Bereitschaft, … [Read more…]
Alle paar Monate werde ich dieselbe Frage gestellt: „Was findet ihr eigentlich typischerweise in einem Web-Pentest?“ Statt anekdotisch zu antworten, habe ich die aggregierten Daten der letzten 12 Monate aus unseren Webanwendungstests (inklusive angebundener APIs) bei der binsec GmbH ausgewertet. Das Ergebnis ist die untenstehende Grafik – und sie bestätigt die Muster, die sich seit … [Read more…]
TISAX (Trusted Information Security Assessment Exchange) ist der branchenspezifische Sicherheitsstandard der Automobilindustrie – entwickelt vom VDA und betrieben durch die ENX Association. Er stellt sicher, dass Unternehmen nachweislich ein hohes Niveau an Informationssicherheit erfüllen und dieses vertrauenswürdig mit Partnern teilen können. Im Rahmen von TISAX ist die regelmäßige Durchführung von Penetrationstests ein zentraler Bestandteil des … [Read more…]
Die Idee zu PTDoc entstand während des Wachstums unseres binsec-Teams: Wie lässt sich die Qualität konstant hochhalten, obwohl einzelne Penetrationstester unterschiedliche persönliche Schwerpunkte setzen? Und wie stellt man sicher, dass das Ergebnis eines Pentests immer identisch bleibt – unabhängig davon, welcher Senior Penetration Tester den Auftrag durchführt? Vor PTDoc standen wir bei der binsec vor … [Read more…]
Die neue NIS2-Richtlinie der EU ist seit Anfang 2023 in Kraft. Sie betrifft nicht mehr nur klassische KRITIS-Betreiber, sondern auch eine breite Palette „wichtiger Einrichtungen“, darunter: Die NIS2 schreibt Penetrationstests nicht explizit vor, verlangt aber Maßnahmen, deren Umsetzung ohne Penetrationstests kaum sinnvoll und prüfbar ist. Artikel 21 der Richtlinie definiert eine zentrale Pflicht: Die Mitgliedstaaten … [Read more…]
Was genau an personenbezogenen Daten bei einem Penetrationstest verarbeitet wird, hängt stark vom Testgegenstand ab. Grundsätzlich kann man aber die folgenden Kategorien unterscheiden. 1. Ansprechpartner beim Kunden Ohne geht’s nicht: Der Pentester braucht Ansprechpersonen. Typischerweise werden hier Name, Position, dienstliche Mailadresse und Telefonnummer verarbeitet – in Mails, im Kalender, im Bericht. Diese Informationen sind meist … [Read more…]
Subdomains verraten oft, welche internen Systeme, Webseiten oder Plattformen ein Unternehmen betreibt. Das Auffinden von Subdomains ist ein wichtiger Bestandteil von Sicherheitsanalysen, Penetrationstests oder allgemeinen Recherchen, weil dadurch mögliche Angriffspunkte entdeckt werden können, die sonst verborgen bleiben. Der SubDomainFinder von binsec.tools identifiziert Subdomains einer Domain, indem verschiedene Methoden kombiniert werden:
Auf binsec.tools ist nun auch ein Tool online, dass die eigene öffentliche IPv4- und IPv6-Adresse anzeigt. Technisch keine neue Meisterleistung, aber ohne Werbung und ohne Tracking: Wie ist meine IP-Adresse? Von einer Linux-Shell kann man auch $ curl https://ip.binsec.tools/ aufrufen und erhält seine IP-Adresse als JSON format zurück: {„ip“: „93.207.237.237“, „version“: 4} bzw dediziert die … [Read more…]
Am 11. Februar 2025 erhielt die binsec GmbH eine „Ausschreibung der Emirates Group“ von vendor.registration@theemirategroup.com. Bei dieser vermeintlichen Ausschreibung handelt es sich um einen gezielten Vorschussbetrug (Advance Fee Fraud). Ich warne ausdrücklich davor, auf E-Mails der Domainzu reagieren oder gar Zahlungen zu leisten. Es handelt sich hierbei um eine perfide Betrugsmasche, bei der die Identität … [Read more…]
