Security Advisory 04/2020

usd AG News, Security Research, usd HeroLab

Die Pentester des usd HeroLabs haben während der Durchführung ihrer Sicherheitsanalysen mehrere Schwachstellen identifiziert. Dabei handelt es sich um Schwachstellen in den Produkten Control-M/Agent, Chocolatey, Zencart, Starface UCC Client und Userlike Chat. Es wurden dabei nachfolgende Schwachstellenklassen identifiziert: Cross-Site Scripting (XSS) Insufficient Filtering OS Command Injection Insecure File Copy Remote Buffer Overflow Arbitrary File Download Insecure Password Storage Weak File …

Security Advisory 02/2020

usd AG News, Security Research, usd HeroLab

Die Pentester des usd HeroLabs haben während der Durchführung ihrer Sicherheitsanalysen mehrere Schwachstellen identifiziert. Dabei handelt es sich um Schwachstellen in dem Produkt Nagios NRPE v.3.2.1. Es wurden dabei nachfolgende Schwachstellenklassen identifiziert: Insufficient Filtering of Configuration file Memory Corruption (Heap Overflow) Logic Error Basierend auf der Responsible Disclosure Policy des usd HeroLabs wurden alle Hersteller über die Existenz der Schwachstellen …

„Es ist mir wichtig, der Community etwas zurückzugeben“

usd AG News, usd HeroLab

Ein Pentester im Gespräch über Tools, CTFs und Open Source Als leidenschaftlicher Pentester und Teilnehmer von Capture-the-Flag (CTF) Events beschäftigt sich Tobias Neitzel, Managing Consultant des usd HeroLabs, auch außerhalb seiner Arbeit mit neuen Technologien und Pentest-Tools. Die Ergebnisse teilt er begeistert mit der Community. Im Gespräch erläutert er uns, weshalb ihm dieser Wissensaustausch so wichtig ist und wie dies …

Unbekannte Schwachstellen – die Verantwortung des Finders

usd AG News, Security Research, usd HeroLab

Immer wieder identifizieren Security Analysten des usd HeroLabs im Rahmen ihrer Arbeit bis dato unbekannte Schwachstellen in Produkten. Für diese sogenannten Zero-Day-Schwachstellen existieren bislang keine Sicherheitspatches (Korrekturauslieferungen zur Behebung der Sicherheitslücken). Der verantwortungsvolle Umgang mit diesem Wissen ist also essentiell, um Hersteller dabei zu unterstützen, zeitnah Lösungen zu finden und kritische Einfallstore für Hacker zu schließen. Die usd AG hat …

Security Advisory 01/2020

usd AG News, Security Research, usd HeroLab

Die Pentester des usd HeroLabs haben während der Durchführung ihrer Sicherheitsanalysen mehrere Schwachstellen identifiziert. Dabei handelt es sich um Schwachstellen in den Produkten Dolibarr ERP/CRM und Codiad Web IDE. Es wurden dabei nachfolgende Schwachstellenklassen identifiziert: Reflected XSS Stored XSS SQL Injection PHP Code Injection Basierend auf der Responsible Disclosure Policy des usd HeroLabs wurden alle Hersteller über die Existenz der …

„Made by usd HeroLab“ – Sebastian Puttkammer über Tools, Qualität und Effizienz

usd AG News, Security Research, usd HeroLab

Aus der Motivation heraus, die Arbeit für alle Teammitglieder zu vereinfachen, entwickelte das Team unter der Leitung von Sebastian Puttkammer, Managing Consultant im usd HeroLab, Tools „made by usd HeroLab“. Wir haben nachgefragt, was hier in den letzten Jahren entstanden ist und wie das zur Qualitäts- und Effizienzsteigerung des usd HeroLabs beiträgt. Sebastian, du hast viele der HeroLab Tools selbst …

Security Advisory 10/2019

usd AG News, Security Research, usd HeroLab

Die Pentester des usd HeroLabs haben während der Durchführung ihrer Sicherheitsanalysen mehrere Schwachstellen identifiziert. Dabei handelt es sich um Schwachstellen in den Produkten Bitbucket, PhpSpreadsheet und XClarity. Es wurden dabei nachfolgende Schwachstellenklassen identifiziert: Broken Access Control XML External Entity (XXE) Processing Basierend auf der Responsible Disclosure Policy des usd HeroLabs wurden alle Hersteller über die Existenz der Schwachstellen informiert. Detailliertere …

CST Chef auf DEF CON 27 – der Rückblick

usd AG News, Security Research, usd HeroLab

Unsere Heroes Ralf Almon und Sebastian Puttkammer, Managing Consultants des usd HeroLabs, haben einen kurzen Moment gefunden, uns von den beiden Veranstaltungen DEF CON und Black Hat zu berichten. Es liegen mehr als 24 Stunden Flug und 6 Tage Konferenz hinter Euch. Was waren Eure Highlights der Black Hat und DEF CON? Ralf Almon: Mein persönliches Highlight war der Vortrag …

Tool zur forensischen Datenanalyse auf DFRWS USA 2019

usd AG Security Research, usd HeroLab

Christian Meng, Consultant des usd HeroLabs, entwickelte zusammen mit Prof. Dr. Harald Baier im Rahmen seiner Abschlussarbeit an der Hochschule Darmstadt ein Open-Source-Tool zur forensischen Datenanalyse und Wiederherstellung gelöschter SQLite-Datensätze: „bring2lite“. Im Juli präsentierte Prof. Dr. Harald Baier das Tool auf der DFRWS USA , einer der führenden Konferenzen im Bereich digitaler Forensik. Lesen Sie mehr über das Tool „bring2Lite“ …

Security Advisory 07/2019

usd AG News, Security Research, usd HeroLab

von Stefan Schmer, Managing Consultant im usd HeroLab. Die Pentester des usd HeroLabs haben während der Durchführung ihrer Sicherheitsanalysen mehrere Schwachstellen identifiziert. Dabei handelt es sich um Schwachstellen in den Produkten Adobe Experience Manager (AEM), Bitbucket, feeling4design Super Forms und Oracle Transportation Management (OTM). Es wurden dabei nachfolgende Schwachstellenklassen identifiziert: Cross Site Scripting (XSS) Username/Filename Enumeration Sensitive Data disclosure Code …