USP005 – Einführung Pentest

In dieser Folge geben wir eine Einführung in das Thema Penetrationtest. Wir klären Fragen wie zum Beispiel: Was ist ein Pentest? Wie ist der Ablauf eines Pentests? Was sind die Qualitätsmerkmale auf die ich beim Buchen eines
Penetrationtests achten sollte und wie sieht der resultierende Report aus.

Link zum direkten Download der Audio-Datei: usp005-einführung-pentest

USP003 – Fuzzing

Thema diese Folge ist Fuzzing und Tools die dafür geeignet sind. Wir erklären den Unterschied zu Unit-, Integration- und Akzeptanztests und warum Fuzzing in der Software-Entwicklung nützlich sein kann.

Das Open Source Fuzzing Projekt von Google: Google OSS-Fuzz-Roboter
Das Fuzz-Lab von Microsoft könnt ihr euch hier anschauen.
Zum Binary-Fuzzer (American Fuzzy Lop) von dem wir gesprochen haben geht es hier lang.
Für das fuzzen von APIs gibts viele Optionen, hier ein paar Beispiele:

  • PyjFuzz – Python basierte library zum permutieren von JSON
  • ProtoFuzz – Fuzzer für Protobuf
  • tntfuzzer – OpenAPI (früher Swagger) Fuzzer. Nimmt OpenAPI-Specification entgegen und verschickt Fuzzing-Anfragen an den Server

Ein Beispiel für das Fuzzen von Code ist dieser Java Code Fuzzer: javafuzz.

Link zum direkten Download der Audio-Datei: usp003-fuzzing

USP002 – Auth und Auth

Wir reden über den Unterschied zwischen Authentifizierung und Autorisierung. Außerdem diskutieren wir unter anderem über biometrische Authentifizierungsmöglichkeiten und was für Merkmale eine Authentifizierung braucht. Auch Thema ist Zwei-Faktor-Authentifizierung, Passwortmanager und was es hier für Möglichkeiten gibt.

Link zum direkten Download der Audio-Datei: usp002-auth-und-auth