Pentesting Blog | Patrick Sauer & Dominik Sauer

Common Vulnerability Scoring System (CVSS) – ein (subjektiv) einheitliches Bewertungsschema für Sicherheitslücken?

4. August 2021 by Dominik Sauer Leave a Comment

Es kann sehr fesselnd sein, in der Rolle eines Angreifers in fremde IT-Systeme einzudringen. Als Penetrationstester sollte dabei jedoch nie das eigentliche Ziel aus den Augen verloren werden: die Identifikation aller Einstiegspunkte bzw. Sicherheitslücken in einem Zielsystem. Die Liste von Schwachstellen kann sehr lang und unübersichtlich werden. Um einem Auftraggeber aber mitzuteilen, welche Schwachstellen zuerst … [Read more…]

„Digitale Forensik“-Vorlesung im Wirtschaftsinformatik-Studiengang

6. Februar 2020 by Dominik Sauer Leave a Comment

Der vor Kurzem durchgeführte Hackerangriff auf die Uni Gießen hat vielen Menschen vor Augen geführt, dass die Bedrohung durch Angreifer aus dem Internet stetig zunimmt. Um aus solchen Sicherheitsvorfällen lernen zu können, benötigt es IT-Forensiker, die den 7 W-Fragen der Kriminalistik nachgehen: Wer (Täter), was (Straftat), wann (Tatzeitpunkt), wo (Tatort), wie (Tathergang) womit (Werkzeuge) und … [Read more…]

Umstrukturierung der binsec-Gruppe

5. Februar 2020 by Patrick Sauer Leave a Comment

Die binsec hat sich umstrukturiert: Der von den drei Gesellschaftern Patrick Sauer, Florian Zavatzki und Dominik Sauer Ende 2019 gegründete binsec group GmbH gehört seit Januar 2020 nun offiziell die binsec GmbH sowie die binsec academy GmbH.

Abzocke bei Handelsregistereintragungen

6. Dezember 2019 by Patrick Sauer Leave a Comment

Die dreiste Abzocke bei Firmengründungen nimmt zu. Im Jahr 2013 hatten wir bei der Gründung der binsec eine Zahlungsaufforderung erhalten, die uns zur Zahlung für die Eintragung in ein Register motivieren sollte. Bei der Gründung der binsec group GmbH im Oktober 2019 wurden wir vom Notar schon darauf hingewiesen, dass wir „falsche Rechnungen“ für Eintragungen … [Read more…]

Die Aussagekraft von Vulnerability-Scanner vs. Penetrationstests

2. Juli 2019 by Dominik Sauer 1 Comment

It is worth mentioning that automated methods are much faster in performing the security analysis. Alavi, Bessler und Massoth 2018 Die vorherige Anmerkung von Alavi, Bessler und Massoth schildert den ausschlaggebenden Beweggrund hinter den Einsatz von Vulnerability-Scanner bei der Durchführung von Penetrationstests: Zwar haben beide als Hauptaufgabe die Identifikation von Schwachstellen in IT-Systemen, jedoch geschieht … [Read more…]

BACSCP: Die Entstehung des Secure Coding Trainings

21. Februar 2019 by Dominik Sauer Leave a Comment

Jedes Semester schließen Tausende Informatikstudenten erfolgreich ihr Studium ab – leider meist ohne oder mit nur geringen Kenntnissen in sicherer Softwareentwicklung. Wen wunderts, dass dann altbekannte Schwachstellen wie Cross-Site-Scripting (XSS) noch immer nicht der Vergangenheit angehören. Als Folge stehen Unternehmen selbst in der Verantwortung, ihre Entwickler zu schulen und für Sicherheitsmaßnahmen in deren Softwareprodukten zu … [Read more…]

Tipps zum Anfertigen wissenschaftlicher Arbeiten

19. Oktober 2018 by Dominik Sauer Leave a Comment

Als Dozent begegne ich vielen Studierenden, die während der Anfertigung ihrer Abschlussarbeit unter Ratlosigkeit und Zeitproblemen leiden. Die Wurzel allen Übels ist meist eine oberflächliche Vorbereitung, die zu einer unwissenschaftlichen Vorgehensweise geführt hat. Wie würden Sie beispielsweise vorgehen, wenn Sie acht Stunden Zeit hätten, einen Baum zu fällen? Die Mehrheit würde wahrscheinlich sofort die Axt … [Read more…]

OpenSSH nicht betroffen: CVE-2018-10933 Bypass SSH Authentication – libssh

17. Oktober 2018 by Patrick Sauer Leave a Comment

Eine kürzlich entdeckte Schwachstelle in libssh ermöglicht es Angreifern, sich ohne Authentifizierung mit einem Server zu verbinden. Dazu muss im SSH-Protokoll nur SSH2_MSG_USERAUTH_SUCCESS anstelle vom eigentlichen SSH2_MSG_USERAUTH_REQUEST geschickt werden. Der Client sagt dem Server im Prinzip, dass er erfolgreich authentifiziert wurde und der Server akzeptiert es. Der Bug existiert seit libssh 0.6, d.h. seit Januar 2014. Es … [Read more…]

Hacking vs. Penetration Testing – die Geburtsstunde des BACPP

26. September 2018 by Dominik Sauer Leave a Comment

Als Dozent für „Penetration Testing“ kenne ich den ausschlaggebenden Beweggrund meiner Studentinnen und Studenten für ihre Teilnahme am Wahlpflichtfach nur zu gut. Die Rede ist von „Hacking“. Bereits in jungen Jahren für viele ein spannendes Thema – brennt sich das Hacken von IT-Systemen doch durch seine Darstellung in Film und Fernsehen schon früh als aufregend … [Read more…]

Ich halte keine Vorlesungen, ich halte Lehrveranstaltungen!

25. Februar 2018 by Patrick Sauer Leave a Comment

Ich habe Physik, Wirtschaftsinformatik und Security Management studiert. Ich saß in wenigen sehr guten und in vielen durchschnittlichen Vorlesungen – und ab und zu in einer katastrophalen Vorlesung. Der Tiefpunkt war einmal erreicht, als in einer Vorlesung zu „Netzwerken“ der Professor sein öffentliches PDF an die Wand warf und draus vor las. Ich erinnere mich noch … [Read more…]