Security Advisory 07/2020

usd AG News, Security Research, usd HeroLab

Die Pentester des usd HeroLabs haben während der Durchführung ihrer Sicherheitsanalysen mehrere Schwachstellen identifiziert. Dabei handelt es sich um Schwachstellen in den Produkten Bitbucket Server und Concrete5 CMS. Es wurden dabei nachfolgende Schwachstellenklassen identifiziert: Server-Side Request Forgery Unencrypted Service Code Injection Basierend auf der Responsible Disclosure Policy des usd HeroLabs wurden alle Hersteller über die Existenz der Schwachstellen informiert. Detailliertere …

Security Advisory 06/2020

usd AG News, Security Research, usd HeroLab

Die Pentester des usd HeroLabs haben während der Durchführung ihrer Sicherheitsanalysen mehrere Schwachstellen identifiziert. Dabei handelt es sich um Schwachstellen in den Produkten Symantec Endpoint Protection (Broadcom), Gambio GX und NCP Secure Enterprise Client. Es wurden dabei nachfolgende Schwachstellenklassen identifiziert: Privileged File Write Cross-Site-Request-Forgery (CSRF) Blind SQL Injection Hardlink Vulnerability Stored Cross-Site Scripting (XSS) Basierend auf der Responsible Disclosure Policy …

usd OrangeBox vereinfacht Remote-Pentests

usd AG News, usd HeroLab

Die Frage, ob Angreifer in die IT-Infrastruktur eindringen können, ist für viele Unternehmen allgegenwärtig. Ein Pentest liefert darauf verlässliche Antworten und zeigt Wege auf, das IT-Sicherheitsniveau nachhaltig zu verbessern. Es gibt dabei zwei Wege, wie unsere Security Analysten einen Pentest Ihrer Systeme durchführen können: vor Ort oder per Fernzugriff (remote). Ein Fernzugriff ist möglich, wenn die zu testenden IP-Adressen aus …

Security Advisory 04/2020

usd AG News, Security Research, usd HeroLab

Die Pentester des usd HeroLabs haben während der Durchführung ihrer Sicherheitsanalysen mehrere Schwachstellen identifiziert. Dabei handelt es sich um Schwachstellen in den Produkten Control-M/Agent, Chocolatey, Zencart, Starface UCC Client und Userlike Chat. Es wurden dabei nachfolgende Schwachstellenklassen identifiziert: Cross-Site Scripting (XSS) Insufficient Filtering OS Command Injection Insecure File Copy Remote Buffer Overflow Arbitrary File Download Insecure Password Storage Weak File …

Wie sicher ist Ihre Homeoffice-Umgebung?

usd AG News, usd HeroLab

Hinweis: Bitte beachten Sie unbedingt die aktuelle Zero-Day-Schwachstelle des Apple E-Mail-Clients. Mehr dazu finden Sie in unserem Beitrag Achtung: Schwachstelle in Apple iOS. Die aktuelle Situation hat Unternehmen plötzlich vor die Herausforderung gestellt, ihren Mitarbeitern das Arbeiten von Zuhause zu ermöglichen. Für viele Unternehmen Neuland und ein Kraftakt in den ohnehin schwierigen Zeiten. Die Bereitstellung einer geeigneten Arbeitsumgebung ist dabei …

PCI DSS – ASV Scans, PCI Security Scans und Pentests

usd AG News, PCI Security Services, usd HeroLab

Um die Konformität mit dem Payment Card Industry Data Security Standard (PCI DSS) aufrechtzuerhalten, sollte ein Unternehmen regelmäßig die eigenen Sicherheitssysteme und Prozesse testen. Die Durchführung verschiedener, technischer Sicherheitsanalysen wie Penetrationstest, kurz Pentests, PCI Security Scans oder ASV Scans müssen dazu in einer vom PCI Security Standards Council (PCI SSC) festgelegten Frequenz gewährleistet werden. In diesem Beitrag erläutern wir Ihnen …

Pentest-Scope: Welche Kriterien bestimmen den Prüfumfang?

usd AG News, usd HeroLab

Pentests zählen zu den effektivsten Analyse-Methoden, um das IT-Sicherheitsniveau eines Unternehmens zu überprüfen und Wege für eine nachhaltige Verbesserung aufzuzeigen. Zudem ist der Nachweis der Pentest-Durchführung wichtiger Bestandteil von Compliance-Anforderungen, wie z.B. dem PCI DSS. Noch bevor der eigentliche Pentest durchgeführt werden kann, sind einige Vorbereitungsschritte notwendig, um eine optimal auf Ihr Unternehmen abgestimmte Analyse zu garantieren. In unserer Reihe …

Security Advisory 02/2020

usd AG News, Security Research, usd HeroLab

Die Pentester des usd HeroLabs haben während der Durchführung ihrer Sicherheitsanalysen mehrere Schwachstellen identifiziert. Dabei handelt es sich um Schwachstellen in dem Produkt Nagios NRPE v.3.2.1. Es wurden dabei nachfolgende Schwachstellenklassen identifiziert: Insufficient Filtering of Configuration file Memory Corruption (Heap Overflow) Logic Error Basierend auf der Responsible Disclosure Policy des usd HeroLabs wurden alle Hersteller über die Existenz der Schwachstellen …

„Es ist mir wichtig, der Community etwas zurückzugeben“

usd AG News, usd HeroLab

Ein Pentester im Gespräch über Tools, CTFs und Open Source Als leidenschaftlicher Pentester und Teilnehmer von Capture-the-Flag (CTF) Events beschäftigt sich Tobias Neitzel, Managing Consultant des usd HeroLabs, auch außerhalb seiner Arbeit mit neuen Technologien und Pentest-Tools. Die Ergebnisse teilt er begeistert mit der Community. Im Gespräch erläutert er uns, weshalb ihm dieser Wissensaustausch so wichtig ist und wie dies …

Pentest – Welche Analyseansätze gibt es?

usd AG News, usd HeroLab

Das unautorisierte Eindringen eines Angreifers in IT-Systeme und Anwendungen hat erhebliche Konsequenzen für Unternehmen. Pentests identifizieren mögliche Einfallstore und zeigen Wege auf, das IT Sicherheitsniveau eines Unternehmens nachhaltig zu verbessern. Damit gehören sie zu den effektivsten Methoden der Sicherheitsanalyse, mit denen sich Unternehmen proaktiv vor Hacker-Angriffen schützen können. Hierbei versucht der durchführende Security Analyst (Pentester), mit denselben Methoden und Mitteln …