Zusammenstellung

• Hacking für Administratoren

• Openvas

Kali

• Kali Linux Tools

Verschlüsselung

• Verschlüsselung

Schwachstellen

• https://portal.cert.dfn.de/adv/archive/

Password Check

• http://random-ize.com/how-long-to-hack-pass/
• https://www.betterbuys.com/estimating-password-cracking-times/
• https://www.grc.com/haystack.htm

SSL Check

• https://www.sslshopper.com/
• https://www.sslchecker.com/sslchecker

Projekt

• Man in the Middle Website

Tools

• tor
• bruteforce-passwords
• fail2ban
• spoofing
• netcat
• tcpdump
• Ettercap
• arpspoof
• dsniff
• arpwatch
• tcpkill
• webspy
• ike-scan
• Dnsspoof
• p0f
• nast
• Ngrep
• Nmap
• Zmap
• arp-scan
• Hping3
• sslstrip
• Mitproxy
• Password Hacking
• Windows7 Konto zurück setzen
• Goohost
• Wlan Hacking
• Metasploit
• Metasploit und armitage
• recon-ng
• SSL Man in the Middle
• HTST
• netexpect
• Recording SSH sessions
• Portforwarding
• Proxychains
• Socksify
• InSpy
• unicornscan
• sipvicious
• voip-hacking
• Multiple-ways-to-remotely-control-a-Windows-machine
• https://blogs.sap.com/2017/05/07/top-10-ssl-security-vulnerability-and-solution-part-1/
• http://www.heise.de/security/artikel/Schnellstart-mit-Kali-Linux-2209798.html
• https://hackertarget.com/brute-forcing-passwords-with-ncrack-hydra-and-medusa/

OWASP Top 10 - 2017

A1:2017 Injection

Z.Bsp. SQL-, OS- oder LDAP-Injection.Treten auf bei Verarbeitung von nicht vertrauenswuerdigen Daten als Teil eines Kommandos oder einer Abfrage.

A2:2017 Fehler in der Authetifizierung

Fehlerhafte Implenetierung von Funktionen bei der Authentifizierung bzw. beim Session-Management.

A3:2017 Verlust der Vetraulichkeit sensibler Daten

Unzureichender Schutz von sensiblen Daten durch die Anwendung.

A4:2017 XML External Entities

Externe Entitäten innerhalb von XML-Dokumenten können bei Verwendung von alten oder schlecht konfigurierten XML Prozessoren mißbraucht werden
(Offenlegung interner Dateien oder File-Shares, Port Scans, Remote-Code-Executions, Denial-of-Service Angriffe).

A5:2017 Fehler in der Zugriffskontrolle

Fehler bei der Umsetzung oder Durchsetzung der Zugriffskontrolle authorisierter Benutzer.

A6:2017 Sicherheitsrelevante Fehlkonfiguration

Fehlkonfigurationen von Sicherheitseinstellungen, unsichere Standardkonfigurationen, etc.

A7:2017 Cross-Site Scripting (XSS)

Bei Verarbeitung nicht vertrauenswürdiger Daten durch Webserver
(Auslesen von Cookie-Informationen, Ausführen von Script Code im Browser).

A8:2017 Unsichere Deserialisierung

Serialisierung ist die Abbildung von strukturierten Daten in sequentieller Darstellungsform.
Eine unzureichend geprüfte Deserialisierung kann zum Ausführen fremder Befehle ausgenutzt werden.

A9:2017 Nutzung von Komponenten mit bekannten Schwachstellen

Verwendung unsicherer Bibliotheken, Frameworks, etc.

A10:2017 Unzureichendes Logging und Monitoring

Kein Erkennen von Angriffen.

Zeroconf

• Protokoll zur dezentralen automatischen Konfiguration von Netzwerken.

Komponenten

• automatische IP Adressauswahl
• automatisches Finden Nmeservice - mDNS (multicast DNS)
• automatisches Finden von Netzwerkdiensten