Die binsec GmbH sucht aktuell Verstärkung im Bereich Penetration Testing (als Teilzeit) – und geht dabei einen Weg, der in der Branche eher selten ist:
Ein echtes 3-Wochen-on und 1-Woche-off-Arbeitsmodell.
Das bedeutet:
Du arbeitest drei Wochen ganz normal an Kundenprojekten – und bekommst anschließend eine komplette Woche frei, zusätzlich zu deinem regulären Urlaub. Keine Bereitschaft, keine Meetings, kein „nur mal kurz“: eine echte Off-Week.
Warum machen wir das?
Pentesting ist kognitiv fordernd. Gute Arbeit entsteht nur, wenn man regelmäßig Raum bekommt, runterzufahren. Wir wollen ein Umfeld, in dem man langfristig leistungsfähig bleibt und gleichzeitig ein Leben außerhalb der Arbeit führen kann. Für uns gehört das zu professioneller Arbeitskultur.
Wir suchen erfahrene Penetration Tester (m/w/d) die Lust haben auf:
Alle paar Monate werde ich dieselbe Frage gestellt: „Was findet ihr eigentlich typischerweise in einem Web-Pentest?“
Statt anekdotisch zu antworten, habe ich die aggregierten Daten der letzten 12 Monate aus unseren Webanwendungstests (inklusive angebundener APIs) bei der binsec GmbH ausgewertet. Das Ergebnis ist die untenstehende Grafik – und sie bestätigt die Muster, die sich seit Jahren wiederholen.
Konfigurationsfehler: Das ewige Low-Hanging-Fruit
Ein großer Teil der Findings entsteht durch einfache Konfigurationsfehler: unsichere Webserver-Defaults, fehlende Security-Header, veraltete TLS-Versionen oder schwache Cipher-Suites. Diese Schwachstellen sind leicht auffindbar und meist nicht kritisch, zeigen aber ein wiederkehrendes Problem: vielen Deployments fehlt eine grundlegende Sicherheitsbaseline. Eine einfache Checkliste würde die meisten dieser Probleme direkt vermeiden.
Session-Management: Alte Probleme in modernen Anwendungen
Fehler im Session-Handling treten überraschend häufig auf. Ein typisches Beispiel ist, dass beim Logout nur die Session im Browser entfernt wird, die serverseitige Session jedoch aktiv bleibt. Wird ein Session-Token kompromittiert, kann ein Angreifer die Session weiter nutzen – auch wenn der Nutzer sich bereits abgemeldet hat.
Wo die kritischen Schwachstellen liegen: Autorisierung
Die meisten kritischen Findings entstehen im Bereich der Autorisierung, insbesondere bei:
fehlender Objekt- und Ressourcenfreigabe,
unzureichender Rollenprüfung,
Privilege Escalation,
mangelnder Tenant-Isolation in SaaS-Systemen.
Moderne, frontend-lastige Anwendungen verstärken dieses Problem. Der Browser ruft im Hintergrund zahlreiche API-Endpunkte auf, und jeder einzelne Endpunkt benötigt eine explizite Zugriffskontrolle. Frameworks übernehmen diese Aufgabe selten automatisch. Die Implementierung erfolgt manuell. Manuelle Prozesse führen dabei zwangsläufig zu Inkonsistenzen.
Die Klassiker, die nicht aussterben
SQL Injection und Cross-Site Scripting (XSS) treten heute seltener auf, sind aber keineswegs verschwunden. ORMs, Prepared Statements und automatisches Escaping entschärfen viele Risiken, doch sobald jemand sie in der Entwicklung „nur kurz umgeht“, tauchen diese Klassiker wieder auf.
Business Logic: Selten, aber mit hoher Wirkung
Business-Logic-Schwachstellen sind weniger häufig, haben jedoch meist erhebliche Auswirkungen, wenn sie auftreten. Beispiele sind das Umgehen von Freigabeprozessen, das Manipulieren von Berechnungen oder das Überspringen notwendiger Validierungsschritte. Diese Schwachstellen erscheinen in keinem Scanner und erfordern ein tiefes Verständnis der Geschäftsprozesse.
Fazit
Die Daten bestätigen, was viele Sicherheitsteams längst wissen:
Die meisten Schwachstellen sind vermeidbar durch klare Konfigurationsrichtlinien und saubere Deployments.
Kritische Findings konzentrieren sich fast immer auf Autorisierungsfehler, nicht auf exotische Angriffstechniken.
Die Idee zu PTDoc entstand während des Wachstums des binsec-Teams: Wie lässt sich die Qualität konstant hochhalten, obwohl einzelne Penetrationstester unterschiedliche persönliche Schwerpunkte setzen? Und wie stellt man sicher, dass das Ergebnis eines Pentests immer identisch bleibt – unabhängig davon, welcher Senior Penetration Tester den Auftrag durchführt?
Vor PTDoc stand binsec vor der typischen Herausforderung: Soll man Berichte in Word schreiben oder mit LaTeX erstellen? Anfangs fiel die Entscheidung auf LaTeX, wodurch zwar technisch saubere, aber optisch eher „typische“ LaTeX-Dokumente entstanden. Mit PTDoc hat sich dies grundlegend geändert – heute werden daraus professionell gestaltete Reports, die im Hintergrund weiterhin auf umfangreichem LaTeX-Code basieren, jedoch über eine komfortable Oberfläche gesteuert werden können.
Kernidee des Tools ist es, für unterschiedliche Zielsysteme – etwa Active Directory, mobile Anwendungen (z. B. Android Apps) oder Netzwerke – eine einheitliche und standardisierte Vorgehensweise bereitzustellen. Das binsec-Team pflegt und erweitert die Methodik kontinuierlich und integriert etablierte Standards wie den OWASP Testing Guide, MASVS oder OSSTMM. Auf diese Weise wird eine gleichbleibend hohe Qualität sowie die exakte Wiederholbarkeit von Penetrationstests sichergestellt.
In den letzten Jahren hat sich gezeigt, dass durch diese strukturierte Vorgehensweise regelmäßig Schwachstellen identifiziert werden, die bei vorherigen Tests übersehen wurden. Ein Kunde formulierte es sogar so, dass er alle früheren Prüfungen anderer Anbieter nicht mehr als „richtige“ Penetrationstests bezeichnet.
PTDoc deckt alle drei Phasen der Pentest-Dokumentation ab:
Durchführung des Tests – das strukturierte Abarbeiten der definierten Vorgehensweise.
Erstellung der Findings – inklusive Beschreibung für den Management-Teil, detaillierter technischer Analyse, Risikobewertung (qualitativ per Ampelsystem oder quantitativ per CVSS) sowie Verwaltung von Screenshots und Evidences.
Berichtsgenerierung – automatische Erstellung eines konsistenten, revisionssicheren Berichts.
Auch das Nachtesten ist integriert: Stellt der Pentester fest, dass ein Kunde eine Schwachstelle behoben hat, dokumentiert er den Proof of Fix direkt im Finding. Beim erneuten Berichtsbau wird das Finding automatisch als behoben markiert und auch die Management-Zusammenfassung entsprechend aktualisiert.
Darüber hinaus unterstützt PTDoc die Erstellung von deutschen und englischen Berichten. Damit ist es für Kunden besonders einfach, Reports auf Wunsch auch in beiden Sprachen zu erhalten.
Fazit: Mit PTDoc können sich Pentester vollständig auf ihre eigentliche Arbeit – die Durchführung des Tests – konzentrieren. Gleichzeitig ist das Erstellen der Berichte einfach und schnell geworden, sodass Kunden ihre Ergebnisse zeitnah nach Abschluss des Pentests erhalten.
Am 11. Februar 2025 erhielt die binsec GmbH eine „Ausschreibung der Emirates Group“ von vendor.registration@theemirategroup.com:
Dear Valued Vendor, Greetings from Emirates Group, We invite you to register as a vendor with Emirates Group. A leading aviation company in UAE. Our goal is to build a diverse and qualified vendor base to support our business needs. This will open up opportunities to provide goods and services to our projects and developments. Our projects are open for all companies. And this is a special consideration towards your participation for the ongoing registration To register, Kindly confirm your interest by requesting for Vendor Questionnaire and EOI. We look forward to potentially working with you! Best Regards Mr. Sameh Bakier Vendor Coordinator Group Procurement & Contract Shared Services Center of The Emirates Group
Wenn man auf diese E-Mail antwortet und dabei behauptet, interessiert zu sein, erhält man eine E-Mail mit drei PDF-Dokumenten, darunter beispielsweise die Emirates Vendor Assessment Policy. Tatsächlich sehen diese Dokumente gut und authentisch aus. Die Mail enthält auch eine „Vendor Regisgtration Acceptance Form“:
Sie verlangen also eine Zahlung von AED 57.850 (entspricht 15.000 €), um den Prozess zu starten. Die Domain, von der die E-Mails gesendet werden, ist theemirategroup.com, die Original-Domain von The Emirates Group ist theemiratesgroup.com. In der Domain fehlt ein „s“…
WebCompScan von binsec.tools ermöglicht es die auf Websites eingesetzten Technologien zu identifizieren und zu überprüfen, ob diese veraltet oder anfällig sind.
Zu den Technologien, die das Tool WebCompScan erkennen kann zählen unter anderem CMS-Systeme, Webserver, Programmiersprachen, JavaScript-Libraries, aber auch angebotene Zahlungsmittel.
Zur Erkennung der Technologien greift es auf Open Source Datenbanken mit Regex-Patterns zurück. Die zu prüfende Website wird automatisiert in einem Browser aufgerufen und mit Hilfe der Patterns wird überprüft, ob die verschiedenen Bestandteile der Website Hinweise für bekannte Technologien enthalten. Dabei werden neben HTTP-Headern und dem HTML-Quellcode der Website auch das Document Object Model (DOM) und die JavaScript-Variablen während der Ausführung anaylsiert.
In einigen Fällen können auf diese Weise auch Versionsinformation zu den eingesetzten Softwarekomponenten gewonnen werden. Diese werden im nächsten Schritt mit einer Open Source Datenbank zu bekannten Schwachstellen geprüft. Ebenso wird geprüft, ob die Softwarekomponenten noch vom Hersteller unterstützt werden oder bereits End of Life sind.
Im Prinzip sind all diese Informationen öffentlich, binsec.tools kombiniert sie jedoch zu einem kostenlosem Pentest Tool.
Online sind die ersten drei Tools SSLCheck, WebCompScan und DNSCheck.
SSLCheck: Das SSLCheck-Modul zeigt die verfügbaren SSL/TLS-Protokolle, Chiffren und zusätzliche Zertifikatsinformationen an. Der Scan führt mehrere SSL/TLS-Verbindungen zur Zieldomäne aus.
WebCompScan: WebCompScan durchsucht die angegebene URL und versucht, die verwendeten Technologien mithilfe verschiedener Methoden anhand der verfügbaren Informationen wie DOM, Header und vielem mehr zu finden. Dieser Scan ist nicht invasiv, da er wie jeder andere Browser nur die Website durchsucht.
DNSCheck: Der DNSCheck führt Sicherheits- und Validierungsprüfungen für die angegebene DNS-Domäne durch. Diese Prüfung ist nicht invasiv und führt Standard-DNS-Lookups durch.
Die binsec GmbH sucht ab sofort Senior Penetration Tester, die etwas auf dem Kasten haben. Wer für verschiedene Kunden unterschiedliche Penetrationstests durchführen will oder es satt hat auf 12-Monats-Projekten bei Kunden zu sitzen. Hier findet man die Job-Beschreibung bzw Stellenanzeige:
Die Stellenanzeige zum Senior Penetration Tester (m/w/d) entspricht ziemlich dem Arbeitsklima, Mindset und Humor des Teams. Wer sich also so gar nicht angesprochen fühlt, ist hier fehl am Platz. Wer Bock auf ein cooles Team hat, her mit der Bewerbung.
Eigentlich hätte es eher schon BETTER PENTESTING – NO BULLSHIT heißen müssen, wenn man die Werbe- und Verkaufsversprechen vieler Anbieter für Pentesting sieht. Etwas abgeschwächt ist es dann BETTER PENTESTING – NO NONSENSE als neuer Werbe-Slogan für Pentesting der binsec GmbH geworden.
Wie man auf den ganzen Bullshit – sorry Nonsense – vieler anderer Pentesting Dienstleister kommt? Hier ein kleiner Best of Nonsense:
Werbung: „Wir finden alle Schwachstellen!“
Aussage: „Wir führen mit Nessus Penetrationstest durch.“
Es wird ein Pentest verkauft und als Bericht erhält der Kunde eine Excel-Datei mit ca 10 Zeilen Inhalt.
Zertifizierungen unserer Pentest: CISSP, CEH…“
Man hat zwar kein Personal dafür, aber man stellt die Dienstleistung Penetration Testing auf die Webseite. Typisches IT-Systemhaus oder Datenschutz-Berater
Durchdringungstiefe des Penetrationstest: Schwachstellen-Scan
Man kommt im Google Ranking nicht hoch und kauft Pentest Backlinks bei zdnet ein ( ~1.000€) oder lässt in Foren „Pentest Frankfurt“ als Dienstleistung bewerben.
Man schaltet Google Werbung beim Schlagwort „blackhole pentest“.
Man verkauft die Tage einfach doppelt oder dreifach. So können Mitarbeiter auch 250% Zielerfüllung für den eigenen Bonus erreichen.
Heute habe ich eine sehr nette Mail von Gloria vom Enterprise Security Magazine Europe erhalten, in der mir mitgeteilt wird, dass binsec einer der Top Cyber Security Solution Provider ist.
Hi Patrick,
I am Gloria Lam with Enterprise Security Magazine Europe.
I am excited to inform you that our magazine’s evaluation panel has shortlisted binsec to feature as one of the ‘Top 10 Cyber Security Solution Providers in Europe 2022’ in our upcoming 2nd annual edition of ‘Cyber Security 2022’.
We want to feature binsec and bring out your specialization with a client-centric profile. binsec ‘s recognition feature published in this edition will depict your organization as a leader in the Cyber Security space and thus generate potential prospects while helping you convert existing prospects to clients. Our team has received positive feedback from our clients that the recognition profile has helped them convert their prospects to clients, and I’m sure you will see similar results.
At 3,000 Euros, you will receive a full-page exclusive interview-based profile. We will feature an HTML page of the profile on our website with a backlink to your website. Most importantly, you will acquire unlimited print and digital rights for the recognition profile, Logo, and Certificate of Honor. Upon your confirmation, we will schedule a telephonic interview with binsec ‘s CEO/Senior Management for us to move ahead.
Concerning the magazine, Enterprise Security Magazine Europe is a print and digital magazine with over 99,900 qualified subscribers across Europe. It provides a comprehensive platform for senior-level industry experts and decision-makers to share their insights following a unique learn-from-peers approach. This special edition will reach out to C-level decision-makers such as CISOs, Directors of Cyber Security, and Heads of Audit for Information security and privacy, to name a few, who are our subscriber base.
Patrick, we have worked with Industry leaders such as Ramy Houssaini (Chief Cyber & Technology Risk Officer & Group Privacy Officer at BNP Paribas); Steve Williamson (Audit Account Director, Information Security, and Data Privacy at GSK); Cedric Gourio (Group Chief Security Officer at Worldline), to name a few. Similarly, this year, we will have articles from such specialists. It will be an excellent platform for binsec to be highlighted along with them.
E-Mail von Gloria with Enterprise Security Magazine Europe, 19.10.2022
3.000 Euro, um als Top 10 gelistet zu werden und einen Backlink zu bekommen. Ist das nicht ein großartiges Angebot?
