Um einen Überblick und eine sinnvolle Reihenfolge in die Artikel zum Thema Penetrationstesting zu bekommen, hier ein Überblick: Installation Kali Linux Hacking Hardware HackTheBox VulnHub Einführung & Vorbereitung searchsploit Burp Suite: Intro Burp Suite: Intercepting Proxy nmap: Grundlagen nmap: Skripte Weiterlesen…
Um einen Überblick und eine sinnvolle Reihenfolge in die Artikel zum Thema Informationssicherheitsmanagement zu bekommen, hier ein Überblick: Einführung in das Informationssicherheitsmanagement IT-Grundschutz des BSI verinice ISIS12 ISO 2700x Überblick ISO 27000 ISO 27001 ISO 27002 ISO 27003 ISO 27004
Um einen Überblick und eine sinnvolle Reihenfolge in die Artikel zum Thema Bug-Bounty zu bekommen, hier ein Überblick: Mein erstes Bounty Burp Suite Burp Suite: Intercepting Proxy wpscan Übersicht Injection Sensitive Data Exposure Broken Authentication LDAP Injection
Wie bereits im letzten Artikel beschrieben ist nmap ein sehr mächtiges Tool und als ersten Schritt, um alle Funktionalitäten zu verstehen, sollte man die grundlegenden Scanarten kennen. Startet man einen nmap Scan ohne weitere Optionen mit dann wird als erstes Weiterlesen…
Auch die ISO 27004 liefert eine Hilfestellung, um einen bestimmten Teil der ISO 27001 umzusetzen. Die ISO 27004 trägt den Namen Information technology — Security techniques — Information security management — Measurement und behandelt also die Messung des ISMS. Dieser Weiterlesen…
Das SMB Protokoll hat eine große Verbreitung in Unternehmens- und auch Privatnetzwerken und hat aus diesem Grund eine große Bedeutung für Pentester.^ SMB steht für Server Message Block und ist ein Protokoll, um stellt bestimmte Serverdienste in Netzwerken zur Verfügung. Weiterlesen…
Die ISO 27003 ist ein weiterer unterstützender Standard in der Reihe der ISO 2700x. Die ISO 27003 hat die Überschrift Information security management systems — Guidance also Unterstützung bei der Umsetzun eines ISMS. Die wichtigsten Punkte in der ISO 27003 Weiterlesen…
LDAP Injection ist eine weitere Schwachstelle ähnlich der SQL Injection. Hier werden ungefilterte Benutzereingaben als Code ausgeführt. Bei einer LDAP Injection wird die Benutzereingabe gar nicht oder unzureichend gefiltert in eine LDAP Abfrage eingefügt. Jetzt ist die Frage: ‚Was ist Weiterlesen…
Neben den Funktionen als Portscanner hat nmap, wie bereits erwähnt, noch einige weitere Funktionen dazu gehört die Nmap Scripting Engine. Die NSE bietet die Möglichkeit mit nmap Skripte in der Sprache Lua auszuführen. Diese Skripte können Hosts und spezifische Ports Weiterlesen…
Um Windowsnetzwerke und deren Schwachstellen zu verstehen, ist etwas Wissen über die dazugehörigen Protokolle nötig, wie zum Beispiel NTLMv1. NTLM steht für NT Lan Manager und ist eine Weiterentwicklung des ‚LAN Manager‘-Protokolls für Windows NT und dient zur Authentifizierung von Weiterlesen…
Kerberos ist in der griechischen Mythologie der Wachhunde zur Unterwelt. Aber was hat das mit Informationssicherheit und IT zu tun? „Kerberos ist ein verteilter Authentifizierungsdienst (Netzwerkprotokoll) für offene und unsichere Computernetze[…]“. Dieses Zitat von Wikipedia beschreibt den Zweck von des Kerberos-Protokolls treffender als ich Weiterlesen…
Wenn man Pentest oder Bug Bountys macht, trifft man auf einige (Web)Applikationen häufiger als andere und für diese gibt es dann meist spezielle Tools, welche die Anwendung auf Schwachstellen abklopfen. Diese Tools muss man natürlich kennen oder man ergoogelt sie Weiterlesen…
nmap ist gestartet als Portscanner und hat sich zu einem unerlässlichen Tool beim Pentesting entwickelt. Der Kern von nmap ist weiterhin ein klassischer Portscanner, also ein Programm, welches einen Host in einem Netzwerk nach geöffneten Ports im TCP oder UDP Weiterlesen…