Mittlerweile ist etwas Zeit vergangen seit ich die Zertifizierung zum OSCP bestanden habe. Folgende Zeilen sollen einen kurzen Überblick über die Schulung und über die Zertifizierung geben und dadurch evtl. dem einen oder anderen die Entscheidung für oder gegen diesen Kurs erleichtern.

Im Normalfall entsteht bei einem Pentest eine Fülle an Dokumentation die überblickt werden will, bei der man die relevanten Bereiche herausfiltern muss um darauf aufbauend die tatsächlichen Schwachstellen zu erkennen und zu bewerten. Um diese Flut an Informationen im Rahmen eines Pentests auch vernünftig zu verwalten gibt es verschiedenste Ansätze aber nur sehr wenige die die Arbeit des Testers unterstützen und nicht durch Mehrarbeit behindern. Ein Tool das ich jetzt schon länger beobachte nennt sich Dradis und hat sich die Unterstützung des Testers auf die Fahnen geschrieben. Seit der Version 2.2 scheint das Tool auch den Mehrwert der Unterstützung zu erfüllen.

Client Side Attacks sind wohl das neue, große Übel und sozusagen Angriffsvektor Nummer 1. Im Rahmen solcher Angriffe werden nicht nur technische Schwachstellen als Einstiegsmöglichkeit genutzt, der User selber tritt wieder vielmehr in den Vordergrund.

Das folgende Video zeigt sehr anschaulich und mit Live Demos welche Gefahr von dieser Art des Angriffs ausgeht und wie man sie für Angriffe und Pentests nutzen kann.