Die Pentester des usd HeroLabs haben während der Durchführung ihrer Sicherheitsanalysen zwei Schwachstellen in dem Online-Shop-Management-System Zen Cart bzw. einem eigens dafür entwickelten Plugin identifiziert. In Zusammenarbeit mit den zuständigen Entwicklern bzw. Herstellern konnten nachfolgende Sicherheitslücken erfolgreich behoben werden: SQL …
Security Advisory 01/2021
Die Pentester des usd HeroLabs haben während der Durchführung ihrer Sicherheitsanalysen eine Path-Traversal-Schwachstelle im Produkt Mailoptimizer identifiziert. Basierend auf der Responsible Disclosure Policy des usd HeroLabs wurde der Hersteller über die Existenz der Schwachstelle informiert. In enger Zusammenarbeit zwischen dem …
Security Advisory 10/2020
Die Pentester des usd HeroLabs haben während der Durchführung ihrer Sicherheitsanalysen mehrere Schwachstellen identifiziert. Dabei handelt es sich um Schwachstellen in den Produkten OScommerce Phoenix CE, NeoPost Mail Accounting Software und SQL Server Management Studio. Es wurden dabei nachfolgende Schwachstellenklassen …
Security Advisory 09/2020
Die Pentester des usd HeroLabs haben während der Durchführung ihrer Sicherheitsanalysen mehrere Schwachstellen identifiziert. Dabei handelt es sich um Schwachstellen in den Produkten Gophish und Net-SNMP. Es wurden dabei nachfolgende Schwachstellenklassen identifiziert: Stored Cross-Site-Scripting Non-persistent Self Cross-Site-Scripting Clickjacking CSV Injection …
Security Advisory 07/2020
Die Pentester des usd HeroLabs haben während der Durchführung ihrer Sicherheitsanalysen mehrere Schwachstellen identifiziert. Dabei handelt es sich um Schwachstellen in den Produkten Bitbucket Server und Concrete5 CMS. Es wurden dabei nachfolgende Schwachstellenklassen identifiziert: Server-Side Request Forgery Unencrypted Service Code …
Security Advisory 06/2020
Die Pentester des usd HeroLabs haben während der Durchführung ihrer Sicherheitsanalysen mehrere Schwachstellen identifiziert. Dabei handelt es sich um Schwachstellen in den Produkten Symantec Endpoint Protection (Broadcom), Gambio GX und NCP Secure Enterprise Client. Es wurden dabei nachfolgende Schwachstellenklassen identifiziert: …
Security Advisory 04/2020
Die Pentester des usd HeroLabs haben während der Durchführung ihrer Sicherheitsanalysen mehrere Schwachstellen identifiziert. Dabei handelt es sich um Schwachstellen in den Produkten Control-M/Agent, Chocolatey, Zencart, Starface UCC Client und Userlike Chat. Es wurden dabei nachfolgende Schwachstellenklassen identifiziert: Cross-Site Scripting …
Security Advisory 02/2020
Die Pentester des usd HeroLabs haben während der Durchführung ihrer Sicherheitsanalysen mehrere Schwachstellen identifiziert. Dabei handelt es sich um Schwachstellen in dem Produkt Nagios NRPE v.3.2.1. Es wurden dabei nachfolgende Schwachstellenklassen identifiziert: Insufficient Filtering of Configuration file Memory Corruption (Heap …
„Es ist mir wichtig, der Community etwas zurückzugeben“
Ein Pentester im Gespräch über Tools, CTFs und Open Source Als leidenschaftlicher Pentester und Teilnehmer von Capture-the-Flag (CTF) Events beschäftigt sich Tobias Neitzel, Managing Consultant des usd HeroLabs, auch außerhalb seiner Arbeit mit neuen Technologien und Pentest-Tools. Die Ergebnisse teilt …
Unbekannte Schwachstellen – die Verantwortung des Finders
Immer wieder identifizieren Security Analysten des usd HeroLabs im Rahmen ihrer Arbeit bis dato unbekannte Schwachstellen in Produkten. Für diese sogenannten Zero-Day-Schwachstellen existieren bislang keine Sicherheitspatches (Korrekturauslieferungen zur Behebung der Sicherheitslücken). Der verantwortungsvolle Umgang mit diesem Wissen ist also essentiell, …