News & Fachartikel

Wir veröffentlichen regelmäßig Newsmeldungen und Fachartikel rund um die Pentest Factory und allgemeinen Entwicklungen im Bereich Penetrationstests und Security. 

Pentestszenarien der realen Welt – 0x01: SQLMap und seine Eigenheiten

19. Februar 2025 // // 8 minutes
In diesem Artikel analysieren wir, wie SQL-Injections trotz Anti-CSRF-Maßnahmen mit SQLMap ausgenutzt werden können. Dabei beschreiben wir ein real angetroffenes Pentesting-Szenario, in dem gängige Schutzmechanismen umgangen wurden. Während unserer Tests stießen wir auf einen bisher unbekannten Bug in SQLMap, der dazu führte, dass das Tool in bestimmten Fällen nicht wie erwartet funktionierte und wie wir dennoch in der Lage waren, die Schwachstelle auszunutzen. Zum praktischen Nachvollziehen haben wir eine CTF-Challenge erstellt, die es ermöglicht, diese Techniken selbst auszuprobieren. Unser Ziel ist es, praxisnahe Einblicke in moderne Angriffsmethoden und deren Abwehr zu geben.
Weiterlesen

vaulticx – Daten einfach übertragen. Aber sicher!

6. Juli 2024 // // 2 minutes
Sichere Kommunikation im Internet muss nicht kompliziert sein. Die vaulticx Plattform unserer Schwestergesellschaft, der tacticx Development GmbH, vereint einfache Bedienung und höchste Sicherheit in einer Lösung. Nach über einem Jahr Entwicklungsarbeit, sind wir stolz die Veröffentlichung der Plattform bekanntgeben zu können. Starten Sie jetzt Ihre 14-tägige Testphase.
Weiterlesen

Pentesting the Rainbow – Was sind Purple, Red und Blue Teams

16. Mai 2024 // // 7 minutes
Try the Rainbow – Test the Rainbow So oder so ähnlich lautet bereits ein Werbeslogan einer weltweit bekannten Süßigkeiten-Marke aus den United States of America. Im Bereich Offensive Security und
Weiterlesen

5 errors in pentest results

30. Januar 2024 // // 8 minutes
Especially for companies that operate larger infrastructures, a pentest can often provide more insights than is typically assumed. We show you how to interpret pentest results correctly and get the
Weiterlesen

5 Irrtümer bei Pentest Ergebnissen

30. Januar 2024 // // 8 minutes
Insbesondere für Unternehmen, die größere Infrastrukturen betreiben, können aus einem Pentest oft mehr Erkenntnisse gewonnen werden, als typischerweise angenommen wird. Wir zeigen Ihnen, wie Sie Pentest Ergebnisse richtig interpretieren und
Weiterlesen

Pentest Factory ist ISO 27001 zertifiziert

14. Juni 2023 // // 1 minute
Die Pentest Factory GmbH erhält ISO 27001-Zertifizierung von TÜV NORD CERT Wir sind stolz darauf, bekannt zu geben, dass die Pentest Factory GmbH erfolgreich nach ISO 27001 zertifiziert wurde. Die
Weiterlesen

Worauf achten bei Pentests? Qualitätsmerkmale erklärt.

3. April 2023 // // 7 minutes
Häufig können wir in Gesprächen mit Neukunden feststellen, dass der Markt der Penetration Testing Dienstleistungen undurchsichtig erscheint und es schwer ist, sich für einen Dienstleister zu entscheiden. Dabei wird oftmals
Weiterlesen

Frühzeitiges Erkennen von Angriffen auf Active Directory mithilfe von „Deception“-Techniken

28. März 2023 // // 8 minutes
Die meisten Organisationen und Unternehmen verwenden das Active Directory in ihrer Infrastruktur als zentrale Lösung für die Verwaltung ihrer Ressourcen. Dabei stehen viele vor großen Herausforderungen bei der Absicherung und
Weiterlesen

Angriff per SMS? Smishing unter der Lupe

4. Oktober 2022 // // 5 minutes
Fast jeder kennt das Thema Spam: Man erhält E-Mails die von unschlagbaren Rabatten, Millionengewinnen für das eigene Portemonnaie oder einem gesperrten Bankaccount erzählen. Während unseres Arbeitsalltages bei der Pentest Factory konnten wir jedoch eine weitaus effektivere Methode als Smishing aufdecken, die uns gezielt dazu verleiten sollte auf einen bösartigen Link zu klicken. In diesem Fachartikel stellen wir die Techniken und unsere Analysen vor.
Weiterlesen

Die Vorbereitung auf einen Penetrationstest

19. Juli 2022 // // 9 minutes
Penetrationstests sind ein sinnvolles Tool, um die Sicherheit von IT-Infrastrukturen sowie Anwendungen zu verbessern. Sie helfen dabei, Sicherheitslücken frühzeitig aufzudecken und bieten einem Unternehmen die Chance, Lücken noch vor einer
Weiterlesen

Schwachstellen Datenbank veröffentlicht

26. Oktober 2021 // // 1 minute
Der Umgang mit Schwachstellen in IT-Systemen und Anwendungen ist wichtiger denn je. Täglich ist in den Medien zu lesen, dass neue Schwachstellen entdeckt, veröffentlicht und ausgenutzt werden. Wir haben nun unsere Schwachstellen Datenbank für die Öffentlichkeit freigeschaltet und bieten allen Nutzern die Möglichkeit nach entsprechenden Einträgen in ihrer Software zu suchen.
Weiterlesen

CVE Quick Search: Implementierung einer eigenen Schwachstellendatenbank

17. September 2021 // // 5 minutes
Nicht nur für die Durchführung von Penetrationstests ist es interessant zu wissen, welche Schwachstellen in einem Softwareprodukt bestehen. Auch aus der Perspektive eines IT Teams kann es nützlich sein, schnell
Weiterlesen

Automatisierte Cyberangriffe: Kein System bleibt unberührt

30. August 2021 // // 12 minutes
Unabhängig von der Unternehmensgröße oder der Branche müssen alle Unternehmen damit rechnen das Ziel von Cyberangriffen zu werden. Diese Cyberattacken sind nicht nur zielgerichtet, sondern passieren zufällig sowie automatisiert. Bei
Weiterlesen

Schwachstellen in NEX Forms < 7.8.8

26. Juli 2021 // // 2 minutes
Um unsere Infrastruktur gegen Angriffe abzusichern und Schachstellen zu finden, sind interne Penetrationstests ein fester Bestandteil unserer Strategie. Wir prüfen dabei besonders die Systeme, die zur Verarbeitung von Kundendaten eingesetzt
Weiterlesen

Warum wir >80% Ihrer Mitarbeiterpasswörter knacken

9. Juli 2021 // // 21 minutes
Zusammenfassung des Fachartikels Bei der Durchführung von technischen Passwort-Audits waren wir bislang in der Lage, über 40.000 Passwort-Hashes von Mitarbeitern zu analysieren und davon mehr als drei Viertel zu knacken.
Weiterlesen

Schwachstellen in FTAPI 4.0 – 4.11

9. Juni 2021 // // 3 minutes
Um die hauseigene IT-Infrastruktur der Pentest Factory gegen Angriffe abzusichern, sind interne Penetrationstests ein fester Bestandteil unserer Strategie. Hierbei prüfen wir insbesondere die Systeme, die zur Verarbeitung von sensitiven Kundendaten
Weiterlesen

Subdomains unter der Lupe: SSL Transparency Logs

9. Juni 2021 // // 8 minutes
Seit der Gründung der Zertifizierungsstelle Let’s Encrypt im Jahr 2014 und Inbetriebnahme Ende 2015 wurden bislang mehr als 182 Millionen aktive Zertifikate und 77 Millionen aktive Domänen registriert (Stand 05/2021).
Weiterlesen

KMU Pentests

18. Mai 2021 // // 1 minute
Penetrationstests und Sicherheitsanalysen sind heutzutage in vielen Unternehmen nicht mehr wegzudenken. Allerdings setzen diese Möglichkeiten in der Regel eher größere Unternehmen ein. Für kleine und mittlere Unternehmen (KMU) sind die
Weiterlesen

Homepage Redesign

18. Mai 2021 // // 1 minute
Wir freuen uns sehr, dass wir den Launch unserer neuen Homepage bekannt geben können. Wir haben nicht nur das Design angepasst, sondern die Homepage auch gleich auf eine neue Plattform
Weiterlesen

Code-Assisted Pentests

13. April 2021 // // 5 minutes
Zahlreiche Unternehmen setzen auf regelmäßige Penetrationstests, um ihre Anwendungen und IT-Infrastrukturen auf Schwachstellen zu prüfen. Meist wird hier aus der Sicht eines externen Angreifers mit einem Black-Box Ansatz, also ohne
Weiterlesen