OSCP

OSCP und PWK

OSCP und PWK sind beides Produkte von Offensive Security, das gleiche Unternehmen, welches Kali Linux entwickelt. Bevor wir loslegen, kurz zur Begriffsklärung: PWK = Penetrationtesting with Kali Linux – Das ist der Kurs mit entsprechendem Lerninhalt für die OSCP-Zertifizierung OSCP – Offensive Security Certified Professionel – Das ist die Zertifizierung, Weiterlesen…

Pentesting

Überblick Pentesting

Um einen Überblick und eine sinnvolle Reihenfolge in die Artikel zum Thema Penetrationstesting zu bekommen, hier ein Überblick: Installation Kali Linux Hacking Hardware HackTheBox VulnHub Einführung & Vorbereitung searchsploit Burp Suite: Intro Burp Suite: Intercepting Proxy nmap: Grundlagen wpscan

List

Überblick Bug-Bounty-Artikel

Um einen Überblick und eine sinnvolle Reihenfolge in die Artikel zum Thema Bug-Bounty zu bekommen, hier ein Überblick: Mein erstes Bounty Burp Suite Burp Suite: Intercepting Proxy wpscan Übersicht Injection Sensitive Data Exposure Broken Authentication

Authentication

Broken Authentication

Broken Authentication ist aktuell Platz 2 auf der Liste der größten Risiken für Webanwendungen und kann frei übersetzt werden mit ‚defekte Identitätsprüfung‘. Damit ist dieser Punkt enger gefasst als Sensitive Data Exposure, aber immer noch ein sehr undefinierter Begriff, welcher viele Überschneidungen mit anderen Themen (auch auf der Liste der Weiterlesen…

Daten

Sensitive Data Exposure

Der aktuelle zweite Platz auf der OWASP Top 10 ist ‚Sensitive Data Exposure‘. Direkt übersetzt bedeutet dies ‚Preisgabe sensibler Daten‘. Damit ist dieser Punkt im Gegensatz zu Platz 1 (Injection) meistens eine Folge einer Schwachstelle und eines Angriffs. Sensitive Data Exposure bedeutet meistens, dass Informationen nicht nur für den zugedachten Weiterlesen…

Injection

Injection

Injection ist aktuell (2020) der traurige Sieger der OWASP Top 10, also das größte Risiko für Webanwendungen. Dies bedeutet, dass Entwickler von Webanwendungen wissen sollten, wie Injection-Schwachstellen verhindert werden können und Bug-Bounty-Hunter wissen sollten, wie man diese findet und Injection-Angriffe ausführt. Injection ist leicht direkt übersetzt und bedeutet Injektion. Was Weiterlesen…

OWASP

OWASP Top 10

Die OWASP Top 10 sind eine Liste der 10 kritischsten Risiken für Webanwendungen. Dabei dient die OWASP Top 10 hauptsächlich zu Sensibilisierung von Entwicklern, Sicherheitsforschern und damit auch Bug-Bounty-Huntern. Für mich als Einsteiger in Penetrationtesting und Bug-Bounty-Hunting war diese Liste eine große Hilfe, um zu Entscheiden auf welche BEreich man Weiterlesen…

Kali Startup

Installation Kali Linux

Meine aktuelle Wahl als Betriebssystem für Pentesting- und Bug-Bounty-Vorhaben fällt auf Kali Linux auf einer virtuellen Maschine (VM) mit VirtualBox. Wie bereits im vorherigen Beitrag erwähnt, existieren einige andere Linux Distribution speziell zum Thema Hacking, welche zu gegebener Zeit auch hier vorgestellt werden. Installation VirtualBox Um eure VM mit Kali Weiterlesen…

Money

Mein erstes Bounty

Nein, ich meine nicht die Süßigkeit mit Kokosgeschmack 😀 Hier will ich euch den Weg zu meinem ersten Bug-Bounty beschreiben. Das hat mir plötzlich gezeigt, dass man mit Hacking unabhängig von Qualifikation, Standort und verfügbarer Zeit Geld verdienen kann. Niemand will hier Qualifikation X sehen oder Zertifikat Y. Wenn du Weiterlesen…

Kali in VM

Hacking Umgebung

Bevor wir irgendwelche Angriffsvektoren, Verteidigungen, Protokolle oder Techniken besprechen können, wird erstmal eine Grundlage benötigt, um Hackingmethoden ausprobieren zu können. Mir hat es extrem geholfen die praktische Seite der IT-Sicherheit selbst auszuprobieren, auch wenn ich bis dahin nur nur im strategischen Bereich oder auf der Seite der Verteidigung (als IT-Administrator) Weiterlesen…