Durchführung von Penetrationstests für verschiedene Endkunden.
Schwerpunkte:
- Webapplikationen (inkl. Whitebox Assessment)
- Windows-Domäne
- internes Firmennetz
- Perimeter
- PCI-DSS
Die Common Network Technology Database ist das verteilte, replizierte LDAP-Repository vieler nationaler Telekom-Mobilfunk- und mittlerweite Festnetze, das Subscriber-Informationen für praktisch alle Netzkomponenten (HLR, AuC, EPC-HSS, IMS-HSS, etc.) bereitstellt.
- Datenmodellierung des verwendeten LDAP-Schemas, das kontinuierlich fortentwickelt wird
- Software-Design und Prototypen-Entwicklung für Provisioning Gateway Module
- Review auf Design / Konzepte der anderen Designer im Team
- Teilprojekte: IMS-HSS für Festnetz, Datenmodell-Migration
Erstellung eines Solution Designs zur Einführung einer Software zum Provileged User Access Management im Operations-Bereich von Vodafone und Kabel Deutschland mit Anbindung an SIEM, Monitoring, IdM.
- Erstellung eines System-Inventars mit Rollen, Verantwortlichkeiten und Methoden in Bezug auf Identity und Access Management in Zusammenarbeit mit Systemverantwortlichen
- Analyse bestehender Authentifikations- und Autorisierungs-Methoden und Erstellung einer Roadmap zur Konsolidierung nach Empfehlungen des IAM-Audits
- Einführung eines Prozesses zum periodischen Review von Nutzer-Berechtigungen (Reconciliation & Certification) und einmalige Durchführung in Zusammenarbeit mit Fach- und Systemverantwortlichen
- Bewertung und Sicherheits-Analyse einer Open Source Software zur Verwaltung von Passwörtern von Funktions- und privilegierten Konten
- Entwurf der Systemarchitektur inkl. Auswahl geeigneter Komponenten und Technologien
- Definition der API für mobile App (iOS, Android)
- Setup und Betreuung des Testsystems auf virtuellen Maschinen
- Konfiguration von Open Source Software (insbes. Kamailio Routing, Asterisk Dialplan, MySQL Cluster) inkl. Hochverfügbarkeit
- Software-Entwicklung JEE Backend-API-Layer für mobile App
- enge Zusammenarbeit mit Betrieb zum Aufsetzen des QA und Live Systems
- enge Zusammenarbeit mit Kundensupport zur Fehleranalyse aus Endnutzersicht
- Planung und Durchführung des Software-Entwicklungsprozesses nach Luftfahrtqualitätsstandard DO-178B
- enge Zusammenarbeit mit Airvod Produktmanagement (Anforderungensanalyse) und Airvod Engineering (Systemanforderungen und technische Lösungen, Systemintegration in Dublin)
- Koordination des TriaGnoSys Software-Entwicklungs-Teams (3 Personen)
- Software-Entwicklung und -Tests einiger Komponenten
- Release-Verantwortung gegenüber Endkunde
- IST-Analyse bestehender drei E-Mail-Systeme (VF Mobil, VF DSL, arcor.de)
- Erstellen einer Software-Architektur, die die outgesourcte E-Mail-Platform an die internen IT-System anbindet
- Mitarbeit technische Anforderungserstellung für neue E-Mail-Plattform (mit technischem Projektteam)
- Mitarbeit an Ausschreibung für Oursourcing-Dienstleister (mit Projektteam, Marketing, Betrieb) und Teilnahme an Workshops mit Dienstleistern
- Erstellung von Vorschlägen für schnelle Optimierungsansätze ("quick wins") VF Mobile Mail
- Evaluierung der Betriebsübernahme eines Webportals zur Konfiguration der virtuellen Telefonanlage "OfficeNet"
- Requirements Analyse Feature-Updates "Mein Vodafone" mit Fachbereichen
- Unterstützung der Entwicklungs-Teams in Fragen der Software-Architektur und des Software-Designs
- Unterstützung des Entwicklungs-Teams bei der Einführung und Anwendung von agilen Entwicklungsmethoden und Prozessen (Scrum)
- Sicherstellung der Softwarelieferungen innerhalb der vereinbarten Zeit und Qualität
- Identifikation und Management von Abhängigkeiten, Risiken und Problemen auf allen Ebenen (technisch und organisatorisch), welche die Software-Lieferungen beeinflussen konnten
- Unterstützung der Product Owner bei Sprint- und Roadmap-Planung
- Konzerninterne Verbreitung von agilen Entwicklungsmethoden in einem eher traditionellen Projektmanagement-Umfeld
Projekte (Auszug):
- Entwicklung des Jabber-basierten Instant Messaging Backends für den "GMX/Web.de/1&1 MultiMessenger" mit Anbindung an ICQ/AIM/MSN/Yahoo, teils auf Open Source Komponenten basierend (technische Gesamtverantwortung inkl. Systemarchitektur für das IM Backend, fachliche Führung interner und externer Mitarbeiter, Anpassungen und Optimierung ejabberd in Erlang/OTP, Anbindung an existierende Systeme)
- Entwicklung einer Mailsuche inkl. Suchordner
- Vereinfachte SMS-Nutzung zur Umsatzsteigerung (z.B. SMS-Benachrichtigung bei Maileingang)
u.a.
- IMAP-Server
- zentrale Antispam-Module
- Mailfilter
Detect and prove the full business impact of a wide range of common web vulnerabilities.
Adapt attack methods to bypass broken defences, using knowledge of fundamental web technologies.
Quickly identify weak points within an attack surface, and perform out-of-band attacks to attack them.
OSWPs are able to identify existing encryptions and vulnerabilities in 802.11 networks, circumvent network security restrictions and recover the encryption keys in use, implement attacks against WEP & WPA encrypted networks, execute advanced attacks such as PRGA key extraction & one-way packet injection, use alternate WEP/WPA cracking techniques and understand how to implement different rogue access point attacks. The 4-hour exam also proves that OSWPs are able to perform under time constraints.
Certified OSWEs have a clear and practical understanding of white box web application assessment and security. They?ve proven their ability to review advanced source code in web apps, identify vulnerabilities, and exploit them. They use creative and lateral thinking to determine innovative ways of exploiting web vulnerabilities OSWEs are able to assist web development teams in creating and maintaining web apps that are secure by design.
An OSCP has demonstrated the ability to use persistence, creativity, and perceptiveness to identify vulnerabilities and execute organized attacks under tight time constraints. OSCP holders have also shown they can think outside the box while managing both time and resources.
Durchführung von Penetrationstests für verschiedene Endkunden.
Schwerpunkte:
- Webapplikationen (inkl. Whitebox Assessment)
- Windows-Domäne
- internes Firmennetz
- Perimeter
- PCI-DSS
Die Common Network Technology Database ist das verteilte, replizierte LDAP-Repository vieler nationaler Telekom-Mobilfunk- und mittlerweite Festnetze, das Subscriber-Informationen für praktisch alle Netzkomponenten (HLR, AuC, EPC-HSS, IMS-HSS, etc.) bereitstellt.
- Datenmodellierung des verwendeten LDAP-Schemas, das kontinuierlich fortentwickelt wird
- Software-Design und Prototypen-Entwicklung für Provisioning Gateway Module
- Review auf Design / Konzepte der anderen Designer im Team
- Teilprojekte: IMS-HSS für Festnetz, Datenmodell-Migration
Erstellung eines Solution Designs zur Einführung einer Software zum Provileged User Access Management im Operations-Bereich von Vodafone und Kabel Deutschland mit Anbindung an SIEM, Monitoring, IdM.
- Erstellung eines System-Inventars mit Rollen, Verantwortlichkeiten und Methoden in Bezug auf Identity und Access Management in Zusammenarbeit mit Systemverantwortlichen
- Analyse bestehender Authentifikations- und Autorisierungs-Methoden und Erstellung einer Roadmap zur Konsolidierung nach Empfehlungen des IAM-Audits
- Einführung eines Prozesses zum periodischen Review von Nutzer-Berechtigungen (Reconciliation & Certification) und einmalige Durchführung in Zusammenarbeit mit Fach- und Systemverantwortlichen
- Bewertung und Sicherheits-Analyse einer Open Source Software zur Verwaltung von Passwörtern von Funktions- und privilegierten Konten
- Entwurf der Systemarchitektur inkl. Auswahl geeigneter Komponenten und Technologien
- Definition der API für mobile App (iOS, Android)
- Setup und Betreuung des Testsystems auf virtuellen Maschinen
- Konfiguration von Open Source Software (insbes. Kamailio Routing, Asterisk Dialplan, MySQL Cluster) inkl. Hochverfügbarkeit
- Software-Entwicklung JEE Backend-API-Layer für mobile App
- enge Zusammenarbeit mit Betrieb zum Aufsetzen des QA und Live Systems
- enge Zusammenarbeit mit Kundensupport zur Fehleranalyse aus Endnutzersicht
- Planung und Durchführung des Software-Entwicklungsprozesses nach Luftfahrtqualitätsstandard DO-178B
- enge Zusammenarbeit mit Airvod Produktmanagement (Anforderungensanalyse) und Airvod Engineering (Systemanforderungen und technische Lösungen, Systemintegration in Dublin)
- Koordination des TriaGnoSys Software-Entwicklungs-Teams (3 Personen)
- Software-Entwicklung und -Tests einiger Komponenten
- Release-Verantwortung gegenüber Endkunde
- IST-Analyse bestehender drei E-Mail-Systeme (VF Mobil, VF DSL, arcor.de)
- Erstellen einer Software-Architektur, die die outgesourcte E-Mail-Platform an die internen IT-System anbindet
- Mitarbeit technische Anforderungserstellung für neue E-Mail-Plattform (mit technischem Projektteam)
- Mitarbeit an Ausschreibung für Oursourcing-Dienstleister (mit Projektteam, Marketing, Betrieb) und Teilnahme an Workshops mit Dienstleistern
- Erstellung von Vorschlägen für schnelle Optimierungsansätze ("quick wins") VF Mobile Mail
- Evaluierung der Betriebsübernahme eines Webportals zur Konfiguration der virtuellen Telefonanlage "OfficeNet"
- Requirements Analyse Feature-Updates "Mein Vodafone" mit Fachbereichen
- Unterstützung der Entwicklungs-Teams in Fragen der Software-Architektur und des Software-Designs
- Unterstützung des Entwicklungs-Teams bei der Einführung und Anwendung von agilen Entwicklungsmethoden und Prozessen (Scrum)
- Sicherstellung der Softwarelieferungen innerhalb der vereinbarten Zeit und Qualität
- Identifikation und Management von Abhängigkeiten, Risiken und Problemen auf allen Ebenen (technisch und organisatorisch), welche die Software-Lieferungen beeinflussen konnten
- Unterstützung der Product Owner bei Sprint- und Roadmap-Planung
- Konzerninterne Verbreitung von agilen Entwicklungsmethoden in einem eher traditionellen Projektmanagement-Umfeld
Projekte (Auszug):
- Entwicklung des Jabber-basierten Instant Messaging Backends für den "GMX/Web.de/1&1 MultiMessenger" mit Anbindung an ICQ/AIM/MSN/Yahoo, teils auf Open Source Komponenten basierend (technische Gesamtverantwortung inkl. Systemarchitektur für das IM Backend, fachliche Führung interner und externer Mitarbeiter, Anpassungen und Optimierung ejabberd in Erlang/OTP, Anbindung an existierende Systeme)
- Entwicklung einer Mailsuche inkl. Suchordner
- Vereinfachte SMS-Nutzung zur Umsatzsteigerung (z.B. SMS-Benachrichtigung bei Maileingang)
u.a.
- IMAP-Server
- zentrale Antispam-Module
- Mailfilter
Detect and prove the full business impact of a wide range of common web vulnerabilities.
Adapt attack methods to bypass broken defences, using knowledge of fundamental web technologies.
Quickly identify weak points within an attack surface, and perform out-of-band attacks to attack them.
OSWPs are able to identify existing encryptions and vulnerabilities in 802.11 networks, circumvent network security restrictions and recover the encryption keys in use, implement attacks against WEP & WPA encrypted networks, execute advanced attacks such as PRGA key extraction & one-way packet injection, use alternate WEP/WPA cracking techniques and understand how to implement different rogue access point attacks. The 4-hour exam also proves that OSWPs are able to perform under time constraints.
Certified OSWEs have a clear and practical understanding of white box web application assessment and security. They?ve proven their ability to review advanced source code in web apps, identify vulnerabilities, and exploit them. They use creative and lateral thinking to determine innovative ways of exploiting web vulnerabilities OSWEs are able to assist web development teams in creating and maintaining web apps that are secure by design.
An OSCP has demonstrated the ability to use persistence, creativity, and perceptiveness to identify vulnerabilities and execute organized attacks under tight time constraints. OSCP holders have also shown they can think outside the box while managing both time and resources.