Back in the year 2019, usd HeroLab consultant and security researcher Tobias Neitzel (@qtc_de) created Fatty, a vulnerable Machine that he submitted to Hack The Box. Fatty was released at the beginning of 2020 and focuses on fat client exploitation. …
Hack The Box: Oouch Writeup
At the beginning of the year Hack The Box released Oouch, a vulnerable machine created by usd HeroLab consultant and security researcher Tobias Neitzel (@qtc_de). Oouch is an implementation of an OAuth2 authorization server and also ships a compatible consumer …
Security Advisory 07/2020
Die Pentester des usd HeroLabs haben während der Durchführung ihrer Sicherheitsanalysen mehrere Schwachstellen identifiziert. Dabei handelt es sich um Schwachstellen in den Produkten Bitbucket Server und Concrete5 CMS. Es wurden dabei nachfolgende Schwachstellenklassen identifiziert: Server-Side Request Forgery Unencrypted Service Code …
Security Advisory 06/2020
Die Pentester des usd HeroLabs haben während der Durchführung ihrer Sicherheitsanalysen mehrere Schwachstellen identifiziert. Dabei handelt es sich um Schwachstellen in den Produkten Symantec Endpoint Protection (Broadcom), Gambio GX und NCP Secure Enterprise Client. Es wurden dabei nachfolgende Schwachstellenklassen identifiziert: …
Catching the phishes
Florian Haag, dual student in computer science at usd HeroLab, developed a tool chain to automatically detect cloned websites related to phishing attacks during his practical semester at the University of Applied Sciences Darmstadt. Here he gives us an introduction …
Security Advisory 04/2020
Die Pentester des usd HeroLabs haben während der Durchführung ihrer Sicherheitsanalysen mehrere Schwachstellen identifiziert. Dabei handelt es sich um Schwachstellen in den Produkten Control-M/Agent, Chocolatey, Zencart, Starface UCC Client und Userlike Chat. Es wurden dabei nachfolgende Schwachstellenklassen identifiziert: Cross-Site Scripting …
Pentest-Scope: Welche Kriterien bestimmen den Prüfumfang?
Pentests zählen zu den effektivsten Analyse-Methoden, um das IT-Sicherheitsniveau eines Unternehmens zu überprüfen und Wege für eine nachhaltige Verbesserung aufzuzeigen. Zudem ist der Nachweis der Pentest-Durchführung wichtiger Bestandteil von Compliance-Anforderungen, wie z.B. dem PCI DSS. Noch bevor der eigentliche Pentest …
Security Advisory 02/2020
Die Pentester des usd HeroLabs haben während der Durchführung ihrer Sicherheitsanalysen mehrere Schwachstellen identifiziert. Dabei handelt es sich um Schwachstellen in dem Produkt Nagios NRPE v.3.2.1. Es wurden dabei nachfolgende Schwachstellenklassen identifiziert: Insufficient Filtering of Configuration file Memory Corruption (Heap …
„Es ist mir wichtig, der Community etwas zurückzugeben“
Ein Pentester im Gespräch über Tools, CTFs und Open Source Als leidenschaftlicher Pentester und Teilnehmer von Capture-the-Flag (CTF) Events beschäftigt sich Tobias Neitzel, Managing Consultant des usd HeroLabs, auch außerhalb seiner Arbeit mit neuen Technologien und Pentest-Tools. Die Ergebnisse teilt …
Unbekannte Schwachstellen – die Verantwortung des Finders
Immer wieder identifizieren Security Analysten des usd HeroLabs im Rahmen ihrer Arbeit bis dato unbekannte Schwachstellen in Produkten. Für diese sogenannten Zero-Day-Schwachstellen existieren bislang keine Sicherheitspatches (Korrekturauslieferungen zur Behebung der Sicherheitslücken). Der verantwortungsvolle Umgang mit diesem Wissen ist also essentiell, …