Oh, so sieht mein Computer aus 🙂 Die letzte Woche war mal wieder schoen stressig. Mitausloeser war mein Besuch der Schulung Hacking Extrem Web-Applikationen hier in Koeln. Das Training, das von Cirosec (user:cirosec) durchgefuehrt wird, war sehr interessant. Auch wenn es ein weniger mehr „Extrem“ haette sein duerfen. Hier mal ein kurzer Auszug der angesprochenen Themen.
Cross Site Scripting, SQL Injection, Load Balancer Spotting und Fingerprinting, Proxy Spotting und Fingerprinting, Schwachstellen in der Applikationslogik, Command Injection
Im Grunde war kein Thema dabei, von ich nicht schon mal gelesen hatte. Allerdings ist die Theorie, wie so oft, leichter als die Praxis. Das Bild des Hackers, der waehrend dem oeffnen seiner Jacke ein komplettes Netzwerk hackt, ist voellig realitaetsfern. Was ich bereits bei eigenen Spielereien und Pruefungen feststellen durfte gilt, wie zu erwarten, auch hier. Ein Grossteil der Arbeit ist Testen, Auswerten moeglicher Rueckmeldungen und Angriffe anpassen. Und wie beim meinem letzten Sicherheitsbezogenen Training hatte ich auch diesmal wieder das Glueck direkt neben einem Mitarbeiter des BKA zu sitzen 🙂 Ich durfte zu meiner Freude aber feststellen, dass es sich hier um einen Menschen mit *vernuenftigen* Ansichten zu vielen verschiedenen Themen handelt. Ich war etwas ueberrascht 😉
Dann mach doch direkt deinen CCSP. 😉
Also dann doch eher was fuer Checkpoint, Juniper oder, sogar noch sinnvoller, Herstellerunabhaengiges.
Komm doch zu mir Anfang des Jahres 🙂
Was istn da?
Ich brauche gute Argumente, damit hier die Kosten uebernommen werden 🙂
Vermutlich „Die Kunst des Penetration Testing. Ein Seminar von Marko Rogge.“