Was kann uns die Untersuchung der Server-Antwortzeit sagen?

proces logowania użytkownika

Unter der Annahme, dass der Server Maßnahmen basierend auf einer bestimmten Bedingung ergreift, analysieren wir die Situation, in der der Server Berechnungen abhängig vom Ergebnis dieser Bedingung durchführt und dann die Antwort an den Benutzer übermittelt. In beiden Fällen, ob die Berechnungen durchgeführt werden oder nicht, gibt der Server eine… Continue reading

Nimmt die KI die Jobs in der Cybersicherheit weg? Es wird das Gegenteil sein – Beispiel XSS in Zoomin!

ai vs security

Im Kontext der zunehmenden Rolle der künstlichen Intelligenz (KI) in verschiedenen Bereichen wird die Frage nach ihrem Einfluss auf den Arbeitsmarkt in der Cybersicherheit immer relevanter. Einerseits können Automatisierung und intelligente Systeme Prozesse zur Daten- und IT-Infrastruktur-Sicherheit erheblich beschleunigen und verbessern. Andererseits besteht die Sorge, dass KI Menschen in einigen… Continue reading

Biometrie ist sicherer – wie Malware Android-Nutzer ausraubt

AndroidAtakOverlayBank

Dieser Beitrag wurde von einer großartigen Präsentation von Jan Seredynski auf der THS 2023 inspiriert. Cybersicherheit ist keine binäre Angelegenheit – es gibt keine Lösungen, die 100% Sicherheit garantieren. Tatsächlich geht es eher darum, Risiken einzuschätzen und Lösungen zu wählen, die weniger anfällig für Angriffe sind. Ein Beispiel für eine… Continue reading

Das Knacken eines passwortgeschützten PDFs in Sekunden – PZU und ihr illusorischer Schutz. NN Investment Partners wiederholt ebenfalls diese schlechten Praktiken.

łamanie pdf z hasłem

Die Illusion von Sicherheit ist schlimmer als das Bewusstsein über deren Fehlen, weil sie zu Entscheidungen führt, die auf falschen Annahmen basieren. Informationen, die von öffentlichen Vertrauensinstitutionen wie „Wir schützen Ihre persönlichen Daten“ übermittelt werden, schaffen oft diese Illusion von Sicherheit. Lassen Sie uns zwei Beispiele dafür anhand von passwortgeschützten… Continue reading

Leitfaden zu Cybersicherheitszertifikaten mit Ranking

certyfikaty z cyberbezpieczeństwaa

Zertifikate im Bereich Cybersicherheit werden zunehmend zu einem unverzichtbaren Bestandteil der Karriere eines jeden IT-Spezialisten. In verschiedenen Foren stellen viele Anfänger ähnliche Fragen: „Ist das Zertifikat A oder B eine gute Wahl?“. Zwar garantieren Zertifikate keine Beschäftigung, genauso wie Geld nicht automatisch Glück bedeutet, aber sie können unser Lebenslauf beim… Continue reading

Versteckte Daten in Dateien – Wie Metadaten bei Penetrationstests nützlich sein können

ukryta miniaturka w metadanych

Viele Dateiformate, die Inhalte darstellen, wie z.B. JPEGs, die ein aufgenommenes Foto zeigen, können Metadaten enthalten. Diese versteckten Informationen können bei OSINT-Untersuchungen und Penetrationstests von unschätzbarem Wert sein. Schauen wir uns einige Fälle und nützliche Werkzeuge an, um diese scheinbar versteckten Informationen zu extrahieren. Nichtbereinigung von Metadaten aus Fotos Die… Continue reading

Die Nützlichsten Burp Suite Plugins

Burp Suite hacker

Dieser Beitrag ist eine Ergänzung zu meiner Präsentation auf dem Hack Summit 2023, wo ich zeigen werde, wie Sie mit Hilfe einiger Plugins für Burp Suite das Durchführen von Penetrationstests für Webanwendungen beschleunigen und vereinfachen können. Hier ist eine Liste der nützlichsten Plugins für Burp Suite, die ich selbst benutze…. Continue reading

FFUF und EyeWitness – Beschleunigen des Suchprozesses

Die Situation sieht so aus: Die FFUF hat dutzende/mehrere hundert "versteckte" Ressourcen gefunden. Sie können Adressen manuell in Ihren Browser kopieren, um jede Adresse auf interessante Ergebnisse zu überprüfen oder den gesamten Prozess etwas zu automatisieren. Ich empfehle diesen zweiten Ansatz und habe ein fertiges Skript gesaugt, das ein Teil… Continue reading

Betrieb XXE mit einer Tabelle . XLSX

Die Anfälligkeit von XML External Entity (XXE) besteht darin, dass beim Parsen einer XML-Dokumentstruktur namens Document Type Definition (DTD) die Definition eigener XML-Entitäten zulässig ist. Je nach XML-Verarbeitungsmotor auf der Serverseite und der Umgebungskonfiguration ist es möglich, diese Art von Anfälligkeit unterschiedlich zu nutzen. Beginnend mit dem Auflisten von Verzeichnissen… Continue reading