Security advisory for path traversal in pixx.io

Path traversal is a security vulnerability (CWE-23: Relative Path Traversal), that can be abused by attackers to get unauthorized access to files.Web applications often include or offer downloading files that are stored on the web server. These files can be referenced by a relative or absolute path. For example, an URL with a reference to […]
Florian Weller
Florian Weller
comment icon 0 26.04.2021

Security advisory for open redirect in Vodafone components

Open redirect is a security vulnerability (CWE-601: URL redirection to untrusted site), that can be abused by attackers to forward users to dangerous pages.A web application receives a query parameter with a location, which is normally some kind of internal resource or URL, and sends a HTTP response with status code 301 or 302 with […]
Sebastian Schwegler
Sebastian Schwegler
comment icon 1 21.01.2021

Warum selbst das beste Tool einen echten Penetrationstest nicht ersetzen kann

Beim Durchführen von Penetrationstests erlebt man immer wieder Überraschungen und findet Fehler, die man sich in seinen kühnsten Träumen nicht vorstellen kann. So auch bei einem eigentlich ganz normalen Penetrationstest für einen Kunden.Zu testen war eine digitale Plattform, die einen Produktpreis sowie einen Rabattfaktor mit vertretungsberechtigten Personen verknüpft, sodass diese Personen dann mit den verknüpften […]
Sebastian Schwegler
Sebastian Schwegler
comment icon 1 03.11.2020

Statische Codeanalyse: Xanitizer und RIPS im Vergleich

SAST, was für static application security testing steht, ist eine Phase im Software Development Lifecycle (SDL). Ziel dieser Phase ist es, frühzeitig Sicherheitslücken in Softwarecode zu erkennen, sodass diese gar nicht erst in nachgelagerte Systeme gelangen. Neben der statischen Analyse wird auch noch die dynamische Analyse praktiziert, diese setzt jedoch ein lauffähiges Programm voraus.SAST ist […]
Sebastian Schwegler
Sebastian Schwegler
comment icon 0 17.06.2020

So sorgen Sie für mehr Sicherheit im Software Development Lifecycle

SDLC steht für Software Development Lifecycle (dt. Software-Lebenszyklus). Ein SDLC ist im Wesentlichen eine Reihe von Schritten oder Phasen, die einen Rahmen für die Entwicklung von Software und deren Verwaltung über den gesamten Lebenszyklus bieten. Obwohl es nicht nur eine Technik oder Möglichkeit gibt, Anwendungen und Softwarekomponenten zu entwickeln, gibt es etablierte Methoden, die von [...]
Javan Rasokat
Javan Rasokat
comment icon 0 19.08.2019