no one is safe ...

articles & videos

  • for advisories please klick here.
  • for the videos please klick here.
  • for my Metasploit modules klick here.



















Morgen beginnt mit den ersten Tutorials das Frühjahrsfachgespräch in Frankfurt. Letzter Appetithappen, bevor wir direkt vom FFG berichten: Ein Gespräch mit Michael Messner, ebenfalls schon lange im GUUG- und FFG-Umfeld bekannt und geschätzt. Er berichtet in diesem Interview über seinen Vortrag sowie das Metasploit-Tutorial, das er am Mittwoch hält. read more



Werkzeuge wie der Immunity Debugger, Metasploit, Mona oder Spike vereinfachen den Prozess der Exploit-Entwicklung an unterschiedlichen Stellen. Zwar können sie die manuelle Analyse nicht vollständig ablösen, aber wer diese Tools effektiv einsetzt, kann Schwachstellen deutlich schneller bewerten und daraus stabilere Exploits bauen.


Der Artikel findet sich in der aktuellen iX - 01/2013.

Obwohl viele Administratoren ihre Clients hinter den Firewalls sicher glauben, können die ein großes Einfallstor zu Firmennetzen darstellen. Mit dem Penetration Testing Framework Metasploit kann man herausfinden, wie sicher ihr Netz vor Client-Side-Attacken wirklich ist.


Der Artikel findet sich in der aktuellen iX - 12/2012.

Wer unbedacht IPv6 in seinem Netzwerk aktiviert hat und dabei grundlegende Sicherheitsfragen außer Acht lässt, öffnet Angreifern Tür und Tor. Dieser Workshop zeigt einen erfolgreichen Einbruch via IPv6 auf einen Server und erläutert, wie die gängigen Sicherheitstools mit IPv6 arbeiten.



Das Metasploit Penetration-Testing-Framework erfreut sich bei technischen Sicherheitsanalysen bzw. Penetrationstests immer größerer Beliebtheit. Das liegt nicht zuletzt an dem enormen Entwicklungsschub, den die Übernahme des Projektes durch Rapid7 im Jahr 2009 mit sich brachte.




Marko ist ein geschätzter IT-Security Kollege, dessen Blog hier zu finden ist. Nachdem wir bereits bei meinem Metasploit Buch zusammengearbeitet haben freut es mich besonders, dass zum Start ins neue Jahr ein kurzes Interview zu Metasploit und zu meinem Buch auf seinem Blog verfügbar ist.

Ihr findet dieses hier. Ich wünsche euch viel Spaß ...


Metasploit ist ein freies Penetration-Testing-Tool, das in der Toolbox eines jeden Pentesters zu finden ist. Dieses Buch stellt das Framework umfassend und detailliert vor und zeigt, wie es sich im Rahmen unterschiedlichster Penetrationstests einsetzen lässt.

Die Lektüre bietet einen umfassenden Einblick ins Penetration Testing am Beispiel des freien Pentesting-Frameworks Metasploit. Der Leser bekommt tiefe Einblicke in typische Pentesting-Tätigkeiten und lernt, komplexe, mehrstufige Angriffe vorzubereiten, durchzuführen und für Auftraggeber zu protokollieren.

Weitere Infos zu dem neuen Buch und die Möglichkeit der Bestellung findet ihr hier. Zudem findet ihr das Buch auch auf Amazon.

Der Backtrack Day ist eine sehr junge IT Security-Veranstaltung, die dieses Jahr zum zweiten Mal in Deutschland durchgeführt wird. Sie versucht einmal im Jahr die deutschsprachige IT Security bzw. Pentesting-Szene zusammen zu bringen, wodurch ein besserer und einfacherer Informationsaustausch ermöglicht werden soll.






Für einen Angreifer sind in erster Linie die Exploits von Interesse, mit denen es möglich ist über das Netzwerk Zugriff auf ein Zielsystem zu erlangen.






Webserver bzw. die darauf gehosteten Webseiten sind häufig ein essentielles Instrument für Unternehmen. Diese Webauftritte können Webshops, Foren, Blogs und viele weitere dynamische wie statische Inhalte beheimaten, die sehr schnell einen sehr hohen Komplexitätsgrad mit hohem Angriffspotential erreichen können.



Folgendes Szenario: Sie kommen zu einem Auftraggeber, um einen internen Penetrationstest durchzuführen. Nachdem Sie ihre Pentesting Frameworks gestartet haben, machen Sie eine kurze Pause. Als Sie nach dieser Pause wieder zurückkommen, haben Sie bereits weite Teile des Netzwerkes übernommen.




Die praktische Anwendung des Metasploit Exploiting Frameworks bietet enorme Möglichkeiten zur Vereinfachung des Exploiting Vorganges. Dazu gehört unter anderem der automatisierte Exploitingvorgang durch die Einbindung weiterer Tools wie auch die Verwendung von Multistage Payloads oder der automatisierte Sammelvorgang von Informationen nach einem erfolgreichen Exploitingvorgang.



Vor allem im professionellen Pentesting Umfeld nehmen Exploiting Frameworks mittlerweile eine nicht mehr wegzudenkende Rolle ein. Neben den auf einschlägigen Webseiten erhältlichen Exploits bieten diese Frameworks teilweise eine vollständige Pentesting Umgebung an. Mit dieser Umgebung können neben dem eigentlichen Exploiting Vorgang auch verschiedenste weitere Aufgaben eines Pentests erfüllt werden.



Diplomarbeit - Netzwerksicherheit im Accesslayer mit
benutzerabhängigen Policies

Erschienen im Juni 2007

This diploma thesis reviews the di erent technologies and standards that are of importance for a policy-based network security concept. The AAA-framework and the radius protocol allows an authentication concept with dynamical and policy-based access control to be created. Based on a thorough consideration of various security solutions of well-known manufacturers, a policy-based security concept in a heterogeneous test network environment has been implemented. In order to guarantee the future extensibility of the implementation, a central management and the usage of free tools was of high importance.

Praktikumsdokumentation zu "Netzwerksicherheit im Accesslayer mit
benutzerabhängigen Policies"

Die verfügbaren online Aufzeichnungen sind hier zu finden.

Seminararbeit - ISIS Routing Protokoll

Die verfügbaren online Aufzeichnungen sind hier zu finden.

AttachmentSize
DA-Final-13.06.2007.pdf2.06 MB
Metasploit-the_basics.pdf582.39 KB
Part_2_fixing-the-framework.pdf1.04 MB
Part_3-metasploit-to-the-max.pdf988.46 KB
Sicher(er)-durch-den-Einsatz-komplexer-Angriffstools - All About SECURITY' - www_all-about-security_de_kolumnen_thema-des-monats_artikel_11231-integralis-deutschland-sicherer-durch-den-einsatz-komplex.png816.41 KB
Interview.png545.76 KB