Artikel

Der .de-Domains Healthcheck 2024
Wo steht Tür und Tor offen?

Einleitung Täglich kann man von Unternehmen lesen, die Opfer von Cyberangriffen geworden sind. Wie es zu diesen Angriffen kam und welche Schwachstellen ausgenutzt wurden, um in die internen Systeme der Unternehmen einzudringen, bleibt in der Berichterstattung meist unklar. Ein wichtiges Einfallstor – gerade wenn es um kompromittierte Server und Webseiten geht – sind technische Schwachstellen in der verwendeten Software. Deshalb stellt sich die Frage: Wie schwierig wäre es, einen “Gesundheitscheck” über den gesamten .

8. November 2024

Was sind Ports und Services?

Was sind Ports? Im Rahmen meines Artikels .de-Domains Healthcheck 2024 ist mir aufgefallen, dass vielen Lesern das Konzept von Ports und Services möglicherweise noch ganz unbekannt ist. Und aus diesem Grund möchte ich hier sehr vereinfacht erklären, was Ports und Services eigentlich sind. Denn auch Sie begegnen Ports und Services nicht nur in spannenden Healthcheck-Artikeln, sondern täglich indirekt bei Netzwerkzugriffen, Remote-Access oder schlicht schon beim Zugriff auf Ihre Lieblings-Website. Wie funktioniert das alles also konkret?

8. November 2024

HTML Smuggling
Wie sich Angreifer an praktisch jedem Webfilter vorbeischmuggeln (MITRE T1027.006)

Was, wenn Angreifer das ausnutzen, was das Internet ausmacht: HTML, JavaScript und CSS? Und damit praktisch jeden Filter umgehen? Genau das macht sich das so genannte HTML Smuggling zunutze. Anstatt den Phishing-Opfern direkt eine Datei als Anhang oder Download-Link zu schicken, wird die Malware in HTML bzw. JavaScript eingebettet.

22. Oktober 2024

Dienstpaket Smishing
Anatomy of a Phish

Phishing begegnet uns heutzutage quasi überall. Egal ob das klassiche Phishing via E-Mail oder sogenanntes Smishing mittels SMS-Nachrichten. Zur Black-Friday-Week haben die Angreifer sich für einen in dem Paketbestellwahn besonders gemeinen Zoll/Paket-Pretext entschieden.

28. November 2023

Outlook für Windows
Wo gehen meine Daten hin?

Das neue Outlook für Windows – so berichtet heise online – überträgt Passwörter an Microsoft; und zwar auch dann, wenn das E-Mail-Konto bei einem anderen Anbieter besteht. Aber wie kann man so etwas als Nutzer nachvollziehen bzw. wie kann man so etwas selbst überprüfen, wenn niemand darüber berichtet? Dieser Frage gehen wir in diesem Artikel nach. Vorbereitung Was brauchen wird dafür? Zunächst natürlich einen Computer oder eine VM mit Windows 10 oder 11.

15. November 2023

Open Redirects – Eine Reise ins Unbekannte
Warum vertrauenswürdige Seiten dir plötzlich Sextreffs verkaufen wollen

Für Angreifer sind Open Redirects eine feine Sache: User klicken auf einen vertrauenswürdig aussehenden Link und denken sich nichts dabei. Warum auch? In Schulungen haben sie gelernt, darauf zu achten, dass das kleine Schlosssymbol in der URL-Leiste des Browsers angezeigt wird und dass man vor dem Anklicken eines Links alles bis zur Domain-Endung genau prüfen muss (moderne Browser heben den wichtigen Teil sogar praktisch hervor). An die gefühlten drei Meter kryptischer Parameter in Links haben wir uns ja schon gewöhnt. Warum also jetzt noch ein Fass aufmachen? Die Schulungen sind doch sowieso schon viel zu lang.

31. Mai 2023

Bekannte schwache Passwörter
Und wie man sie vermeidet

Über die Wahl des richtigen Passworts gibt es schon unzählige Artikel. In diesem Artikel drehen wir die Frage um: Wie erkennt man schlechte Passwörter?

27. März 2023

Wie melde ich eine Sicherheitslücke?
Responsible Disclosure

Ob Sicherheitsforscher:in oder Gelegenheitshacker:in, wer eine Sicherheitslücke in einer Anwendung oder Webseite findet, steht oft vor der Frage: Was mache ich jetzt?

20. Dezember 2022

Internetzensur in Russland

Der Internetzugriff in Russland ist stark zensiert. Im Vorfeld der Invasion in der Ukraine am 24. Februar 2022 hat diese Zensur noch einmal stark zugenommen. Doch wie zuverlässig ist die Zensur und wie ist die Zensur technisch umgesetzt?

10. November 2022

Passwortregeln

Wer sich schon einmal irgendwo registriert hat, kennt Passwortregeln: 8 Zeichen, Großbuchstaben, Kleinbuchstaben, Sonderzeichen, … Aber sind diese Regeln wirklich sinnvoll und was sind gute Passwortregeln?

18. Oktober 2022

Nim dir Zeit für Malware Detection!

Heutige Angreifer und mit Ihnen zusammen aktuelle Malware werden immer besser und daher schwieriger zu entdecken. Natürlich verbessern die Verteidiger ihre Werkzeuge ebenso stetig. So kommt es zu dem Wettrüsten, welches wir seit Jahren beobachten. Auch wenn Antivirensoftware versucht bei diesem Katz-und-Maus-Spiel mitzuhalten, ist dies immer nur verzögert möglich und man sollte sich auf keinen Fall zu sehr auf sie verlassen.

29. September 2022

CVE-2022-36532
Bolt CMS - Authentifizierte Remote-Code-Execution

Bolt ist ein auf PHP basierendes Content-Management-System, das eine leichtgewichtige Alternative zu Wordpress darstellt und besonders von Agenturen verwendet wird. Wir konnten in Version 5.1.12 eine Schwachstelle ausfindig machen, die es einem authentifizierten Benutzer mit den ROLE_EDITOR-Rechten ermöglicht, eine Datei hochzuladen und umzubenennen, um Remote-Code-Execution zu erreichen.

5. September 2022

Einführung in OSINT

Was ist überhaupt OSINT? OSINT steht für Open-Source Intelligence und wird von Wikipedia wie folgt definiert: Open Source Intelligence (OSINT) ist ein Begriff aus der Welt der Nachrichtendienste und des Militärischen Nachrichtenwesens, bei dem für die Nachrichtengewinnung Informationen aus frei verfügbaren, offenen Quellen gesammelt werden, um durch Analyse der unterschiedlichen Informationen verwertbare Erkenntnisse zu gewinnen. OSINT wird von verschiedenen Organisationen eingesetzt, um Informationen oder Erkenntnisse zu bestimmten Themen zu gewinnen. Versicherungsgesellschaften nutzen beispielsweise OSINT, um das Risiko ihrer Versicherungspolicen zu bewerten.

30. August 2022

Follina (CVE-2022-30190)

Follina ist eine neu entdeckte Schwachstelle, die das Microsoft Support Diagnostic Tool (MSDT) mit Hilfe von speziell erstellten Microsoft Office und Rich-Text-Format-Dateien ausnutzt. Es handelt sich dabei um eine RCE-Schwachstelle, die es einem Angreifer erlaubt, Schadcode auf dem System auszuführen.

2. Juni 2022

Two-factor authentication
and why it shouldn't be an afterthought

We reported to PayPal a way to bypass their two-factor authentication, and their response was to remove the requirement for two-factor authentication. In this article, we document our findings and explain why 2FA is an important security feature that should be taken seriously.

28. Dezember 2023

Manifest confusion
Why npm cannot be trusted

Manifest confusion is a problem in the architecture of npm, pointed out by Darcy Clarke: An npm package’s manifest is independently published from its tarball and never fully validated.

7. Juli 2023

Thoughts on pentests
A pentester's perspective

Sebastian Rode of djangsters recently wrote about his perspective on pentests as a developer. This article takes the reverse perspective and tries to answer how a pentester experiences a pentest.

1. Juni 2023

Password Validation in Django
A reasonable default

Since NIST updated its password recommendations in 2017, a lot has changed. Although there are still plenty of applications that rely on the old-fashioned complexity-based rules (lower case, upper case, numbers, special characters… you know the drill), a lot has improved.

25. Mai 2023

CVE-2023-25392
Finding Vulnerabilities with Static Code Analysis

If we reinvent the wheel, it’s safe to say that initially it probably won’t run as smoothly as the one that’s been around for more than 6,000 years. So if all you need is a wheel and you’re not trying to sell a new wheel, it’s a good idea to stick with the existing design. The same goes for software. If you just need a functionality, the best solution is usually to use something that already exists, a library that has already implemented it.

6. April 2023

Passwordless gone wrong
Perfect is the enemy of good (Part 2)

Here we are. Patiently waiting to continue the ride. Finally ready to travel beyond space and time. Ready to explore the mysteries of the unknown. So jump in, fasten your seatbelts. And. Off. We. Go! Note: Where we’re going, we don’t need roads. It might, however, not hurt to read Part One first.

3. März 2023

Password policies gone wrong
Perfect is the enemy of good (Part 1)

Not a day passes without a new zero day, a reported data leak, a company temporarily shutting down due to a ransomware attack. All of this is garnished with the lingering threat of cyberattacks on critical infrastructure potentially bringing down entire countries. So yes, information security is arguably pretty important right now and in the future. This is why we are doing what we are doing. This is our motivation.

17. Februar 2023

Write-up: Dirty Money - Operator
HTB Business CTF 2022

The HackTheBox Business CTF 2022 featured two cloud challenges. The harder one was Operator, which we will present in the following. Fasten your seatbelts as this will be kind of a ride!

18. Juli 2022

From zero to cluster
Kubewarden 1.0.0: Yay or Nay? (Part 1)

Kubewarden, an only recently admitted CNCF sandbox project, has had its first stable release on 22nd of June, 2022 — a perfect time to have a quick look at it. What is Kubewarden? In short: Kubewarden is an admission controller for Kubernetes (stylized as K8s), that tries to replace the now deprecated Pod Security Policies and unify the current ecosystem by supporting both versions of Rego policies (used by Open Policy Agent and OPA gatekeeper).

12. Juli 2022