Was kann uns die Untersuchung der Server-Antwortzeit sagen?

proces logowania użytkownika

Unter der Annahme, dass der Server Maßnahmen basierend auf einer bestimmten Bedingung ergreift, analysieren wir die Situation, in der der Server Berechnungen abhängig vom Ergebnis dieser Bedingung durchführt und dann die Antwort an den Benutzer übermittelt. In beiden Fällen, ob die Berechnungen durchgeführt werden oder nicht, gibt der Server eine… Continue reading

Nimmt die KI die Jobs in der Cybersicherheit weg? Es wird das Gegenteil sein – Beispiel XSS in Zoomin!

ai vs security

Im Kontext der zunehmenden Rolle der künstlichen Intelligenz (KI) in verschiedenen Bereichen wird die Frage nach ihrem Einfluss auf den Arbeitsmarkt in der Cybersicherheit immer relevanter. Einerseits können Automatisierung und intelligente Systeme Prozesse zur Daten- und IT-Infrastruktur-Sicherheit erheblich beschleunigen und verbessern. Andererseits besteht die Sorge, dass KI Menschen in einigen… Continue reading

Biometrie ist sicherer – wie Malware Android-Nutzer ausraubt

AndroidAtakOverlayBank

Dieser Beitrag wurde von einer großartigen Präsentation von Jan Seredynski auf der THS 2023 inspiriert. Cybersicherheit ist keine binäre Angelegenheit – es gibt keine Lösungen, die 100% Sicherheit garantieren. Tatsächlich geht es eher darum, Risiken einzuschätzen und Lösungen zu wählen, die weniger anfällig für Angriffe sind. Ein Beispiel für eine… Continue reading

Das Knacken eines passwortgeschützten PDFs in Sekunden – PZU und ihr illusorischer Schutz. NN Investment Partners wiederholt ebenfalls diese schlechten Praktiken.

łamanie pdf z hasłem

Die Illusion von Sicherheit ist schlimmer als das Bewusstsein über deren Fehlen, weil sie zu Entscheidungen führt, die auf falschen Annahmen basieren. Informationen, die von öffentlichen Vertrauensinstitutionen wie „Wir schützen Ihre persönlichen Daten“ übermittelt werden, schaffen oft diese Illusion von Sicherheit. Lassen Sie uns zwei Beispiele dafür anhand von passwortgeschützten… Continue reading

Leitfaden zu Cybersicherheitszertifikaten mit Ranking

certyfikaty z cyberbezpieczeństwaa

Zertifikate im Bereich Cybersicherheit werden zunehmend zu einem unverzichtbaren Bestandteil der Karriere eines jeden IT-Spezialisten. In verschiedenen Foren stellen viele Anfänger ähnliche Fragen: „Ist das Zertifikat A oder B eine gute Wahl?“. Zwar garantieren Zertifikate keine Beschäftigung, genauso wie Geld nicht automatisch Glück bedeutet, aber sie können unser Lebenslauf beim… Continue reading

Versteckte Daten in Dateien – Wie Metadaten bei Penetrationstests nützlich sein können

ukryta miniaturka w metadanych

Viele Dateiformate, die Inhalte darstellen, wie z.B. JPEGs, die ein aufgenommenes Foto zeigen, können Metadaten enthalten. Diese versteckten Informationen können bei OSINT-Untersuchungen und Penetrationstests von unschätzbarem Wert sein. Schauen wir uns einige Fälle und nützliche Werkzeuge an, um diese scheinbar versteckten Informationen zu extrahieren. Nichtbereinigung von Metadaten aus Fotos Die… Continue reading

Die Nützlichsten Burp Suite Plugins

Burp Suite hacker

Dieser Beitrag ist eine Ergänzung zu meiner Präsentation auf dem Hack Summit 2023, wo ich zeigen werde, wie Sie mit Hilfe einiger Plugins für Burp Suite das Durchführen von Penetrationstests für Webanwendungen beschleunigen und vereinfachen können. Hier ist eine Liste der nützlichsten Plugins für Burp Suite, die ich selbst benutze…. Continue reading

Optimieren der IP-Kamerakonfiguration

Diese Anleitung zeigt, wie die IP-Kamera konfiguriert wird. Die Modellabwürfe wurden von der IPCAM PTZ Kamera modell C6F0SgZ3N0P6L2 aufgenommen, aber die gleichen Einstellungen können für die meisten Marken angewendet werden. Die Kameras, die sehr ähnliche Einstellungen haben werden, sind Clearview, Dahua, Hikvision, Gise und Qsee. Videoformat Um einen flimmernden Effekt… Continue reading

Einige Statistiken von Pentester es Labor 2018-2020

Seit einigen Jahren sammle ich Statistiken aus den Ergebnissen ihrer Computersicherheitsforschung. Ich beschloss, sie ein wenig zu teilen. Hier finden Sie einen Beispielbericht über den Penetrationstest – Bericht. In einer großen Anzahl von Interviews mit Penetrationstetern höre ich die Frage: "Hat sich die Sicherheit von Internet-Apps im Laufe der Jahre… Continue reading

Tplmap – identifizieren und verwenden Sie die Vorlagen-Engine

Wenn Sie einen Website-Penetrationstest durchführen, der dynamische Inhalte mit Vorlagen mit benutzerdefinierten Werten generiert, können Sie auf eine Server-Side Template Injection stoßen. Die manuelle Identifizierung des Vorlagenmotors und die anschließende Exploitation können mit dem Tplmap-Tool einfach automatisiert werden. Tplmap ist in der Lage, SSTI in mehr als einem Dutzend Arten… Continue reading