Security Testing, Testautomatisierung und Testmanagement, ISTQB® Certified Software Test Engineer
Aktualisiert am 08.11.2024
Profil
Mitarbeiter eines Dienstleisters
Remote-Arbeit
Verfügbar ab: 08.11.2024
Verfügbar zu: 100%
davon vor Ort: 100%
Skill-Profil eines fest angestellten Mitarbeiters des Dienstleisters
Deutsch
Englisch
Polnisch

Einsatzorte

Einsatzorte

Deutschland
möglich

Projekte

Projekte

5 Jahre 6 Monate
2019-03 - 2024-08

Security Testing der Cloudlösung

Security Engineer Security Testing Sicherheit: OIDC Netzwerk-Monitoring ...
Security Engineer

DRACOON ist Marktführer im Bereich Enterprise File Services bietet eine Cloud-Lösung für den sicheren Dateiaustausch an. Mit DRACOON können Unternehmen ihre sensiblen Daten in vor unbefugtem Zugriff schützen und bei der Einhaltung gesetzlicher Vorschriften, wie TISAX, KRITIS, NIS-2 oder DSGVO unterstützt werden. Ziel des Projektes ist das Security Testing der eigenentwickelten Cloud-Lösung DRACOON. Die Identifizierung von Sicherheitslücken und der Aufbau eines Frameworks in Python zum automatisierten Testen von modernen Timing- und Race-Condition-Angriffen sind dabei von zentraler Bedeutung. Ein weiterer Schwerpunkt des Projekts liegt auf der manuellen Identifizierung von Sicherheitslücken durch Pentesting-Methoden aller Frontend-Clients sowie der in einer unter Docker betriebenen Microservice-Architektur.


Aufgaben:

  • Aufbau des Frameworks in Python zum automatisierten Testen von Timing- und Race-Condition-Angriffen
    Ich bin verantwortlich für die Konzeption und Koordination des Security Testings sowie für die Entwicklung eines Testautomatisierungs-Frameworks in Python. Das Framework dient dem automatisierten Testen von modernen Timing- und Race-Condition-Angriffen. Dabei erstelle ich die Testpläne und teste die Frontend-Clients und Micro-Services in Docker manuell und explorativ mit Pentesting-Methoden.
  • Identifizierung von Sicherheitslücken mit Mimikatz für Pass-the-Hash-Angriffe in Windows
    Ich definiere die Angriffsoberfläche und übernehme die Identifizierung von Sicherheitslücken sowie die Planung, Steuerung und Kommunikation dazu. Dabei nutze ich Mimikatz zum Erfassen von Anmeldeinformationen und zum Durchführen von Pass-the-Hash-Angriffen in Windows-Betriebssystemen. Ich lasse mir Passwörter im Klartext anzeigen, um Hashes zu extrahieren und Sicherheitslücken aufzudecken.
  • Entdeckung von Sicherheitslücken in der Cloud-Lösung mit Burp Suite und über OIDC
    Mit der Burp Suite kann ich den HTTP/HTTPS-Verkehr zu Anwendungen abfangen und manipulieren, bevor er an den Server gesendet wird. Dadurch können Sicherheitslücken in der selbst entwickelten Cloud-Lösung DRACOON schnell und effektiv aufgedeckt werden. OIDC ermöglicht es mir, die Identität eines Endnutzers gegenüber Clients durch die Authentifizierung über einen Autorisierungsserver zu bestätigen.
  • Netzwerk-Monitoring, Analyse des Netzwerkverkehrs und Aufdeckung von Sicherheitslücken mit Caido
    Ich bin zuständig für die Überwachung des Netzwerks und Dokumentation des Monitorings in Jira, um eine optimale Verfügbarkeit und Leistung sicherzustellen. Caido ist ein Open-Source-Tool, das ich zur Überwachung und Analyse des Netzwerks verwende. Ich setze es ein, um den Netzwerkverkehr zu überwachen, Sicherheitslücken aufzudecken, Angriffe zu erkennen und die Netzwerkleistung zu optimieren.
  • Testmanagement, Testressourcenplanung und Coaching von Werkstudenten im Bereich Security Testing
    Ich koordiniere und kontrolliere die sicherheitsrelevanten Testaktivitäten in Xray - Test Management for Jira. Gleichzeitig betreue ich Werkstudenten im Bereich Security Testing der Cloud-Lösung. Dabei übernehme ich die Einarbeitung ins Security Testing und ein ausführliches Coaching. Ich plane Testressourcen und weise Aufgaben zu. Ich gebe mein Wissen weiter und wir arbeiten agil im Projekt.
Mimikatz Charles Proxy Burp Suite Caido Docker VMware Windows 10 Jira + X-ray Xray - Test Management for Jira MITRE ATT&CK Atlassian JIRA
Security Testing Sicherheit: OIDC Netzwerk-Monitoring Hardware Sicherheit Testautomatisierung Manuelles Testing Exploratives Testing Agile Vorgehensweise Konzeptionierung Micro-Services Python Testpläne Koordination von internen und externen Testressourcen Regressionstests Softwaretest Virtualisierung Planung Steuerung Kommunikation Genauigkeit Wissenstransfer Testmanagement Testressourcenplanung Coaching Teamfähigkeit Risk Assessment Threat Modeling OWASP Anforderungsmanagement OIDC Entdeckung von Sicherheitslücken in der Cloud-Lösung mit Burp Suite
DRACOON
5 Jahre 6 Monate
2019-03 - 2024-08

QS der Cloud-Lösung DRACOON

Software Engineer Aufbau der Testautomatisierung in Java Definieren und Anlegen von Testdaten Testmanagement ...
Software Engineer

Ziel des Projektes ist die Sicherstellung der Zuverlässigkeit und Funktionalität der Softwarekomponenten für die eigenentwickelte Cloud-Lösung DRACOON im Bereich Enterprise File Services. Im Rahmen der Software-Qualitätssicherung legt das Unternehmen großen Wert auf die kontinuierliche Verbesserung der Testprozesse sowie den Auf- und Ausbau der Testautomatisierung in der QA-Abteilung. Es sollen Frontend-Clients unter Windows, macOS, iOS, iPadOS, Android und Web sowie die Integration der Software unter Linux getestet werden. Darüber hinaus sollen sowohl manuelle als auch automatisierte Tests einer unter Docker betriebenen Microservice-Architektur durchgeführt und aufgesetzt werden. Dies beinhaltet unter anderem die Planung und Koordination der Tests und des gesamten Qualitätssicherungsprozesses.


Aufgaben:

  • Erstellung von Basic- und Functional-Tests mit Citrus zum Aufbau der Testautomatisierung in Java
    Um die Funktionalität der DRACOON Softwarekomponenten sicherzustellen, führe ich Basis-, Funktions- und Integrationstests in Citrus, Cucumber und Gherkin durch. Ich bin verantwortlich für das Definieren und Anlegen von Testdaten zum Aufbau und zur Implementierung der Testautomatisierung in Java und Swift sowie für die Vorbereitung der Tests der unter Docker betriebenen Micro-Services-Architektur.
  • Testmanagement in Jira, Erstellung von Testplänen zur Testautomatisierung und Testprozessoptimierung
    Im SCRUM-Projekt sorge ich eigenverantwortlich für die Bereitstellung der Testinfrastruktur, die kontinuierliche Verbesserung der Testprozesse und die Umsetzung der Anforderungen in Testfälle. Ich überwache die Testdurchführung und berichte der Projektleitung den Status. Ich erstelle und verwalte die Testpläne für die Testautomatisierung und das manuelle Testen in Xray - Test Management for Jira.
  • Entwicklung eines Bash-Skripts zur Analyse und Extraktion von Informationen aus einer REST-API
    Basierend auf den Spezifikationen von Swagger entwickle ich ein Bash-Skript zur effizienten Analyse und Extraktion relevanter Informationen aus einer REST-API sowie zur Optimierung von Entwicklungs- und Integrationsprozessen. Im Projekt ist, wie bei den meisten GNU/ Linux basierten Betriebssystemen, bash die voreingestellte Schnittstelle, die ich dann durch API Tests verifiziere.
  • Entwicklung eines Frameworks zur Durchführung automatisierter Integrationstests mit XCTest/ XCUItest
    Ich entwickle ein Framework zur Durchführung von automatisierten Integrations- und UI-Tests mit XCTest und XCUItest. Dies beinhaltet auch die Implementierung von automatisierten Tests in Java für Multitasking-Funktionalitäten. Durch den Auf- und Ausbau der Testautomatisierung entfallen manuelle Testschritte und der Releaseprozess wird beschleunigt.
  • Leitung des Redesigns der Benutzeroberfläche und der Usability Tests der App mit Sketch und Appium
    Ich steuere das Redesign und Testen der Benutzeroberfläche für die iOS und Android Apps. Mit meinem Know-how im UX/UI Design mit Sketch, über iOS und Android HIG (Human Interface Guidelines), erreiche ich eine Reduktion der Klicks zur Erstellung von Shares um 70%. Um die User Experience zu verbessern, passe ich die Apps an die Haupt-Webanwendung an. Das Design erstelle ich modular in Sketch.
  • Entwicklung von Bash- und PowerShell-Skripten zur Automatisierung von Prozessen mit Javascript
    Ich verantworte auch den Rekrutierungsprozess in der QS-Abteilung. Dies beinhaltet die Koordination der Bewerbungsverfahren und die Auswahl der Kandidaten. Dafür entwickle ich ein Bash- und PowerShell-Skript zur Automatisierung des Onboarding-Prozesses mit Javascript und Spring in Jetbrains (IDE Suite). So kann ich die Einarbeitungszeit auf Linux, MacOS und Windows um 90% reduziert werden.
bash TestNG Cucumber Gherkin XCUITest SonarQube Appium Swagger XCTest Sketch Maven HashiCorp Vault Jira Xray - Test Management for Jira Docker Git GitLab Linux IntelliJ REST-API Micro-Services Java Android MacOS iOS Windows 10 Helm Jetbrains (IDE Suite) Spring npm PowerShell
Aufbau der Testautomatisierung in Java Definieren und Anlegen von Testdaten Testmanagement Continuous Integration Agile Vorgehensweise Testautomatisierung SCRUM KANBAN Manuelles Testing Exploratives Testing Architektur: Micro-Services Java Cucumber Gherkin TestNG Integrationstest Softwaretest Systemintegrationstest Systemtest Virtualisierung: Docker Defektmanagement Genauigkeit Testpläne Testfallreview Best Practice Erstellung von Testplänen Schnittstellen API Tests User UI Mobile Testing Usability Tests User Acceptance Tests (UAT) Container Personalthemen: Bewerberinterviews Javascript Planung Steuerung Kommunikation Teamfähigkeit Wissenstransfer bash PowerShell Erstellung von Testplänen zur Testautomatisierung Testprozessoptimierung Usability Tests der App Entwicklung von Bash- und PowerShell-Skripten Automatisierung von Prozessen mit Javascript
DRACOON
1 Monat
2023-09 - 2023-09

Vortrag

Sprecher & Experte im Bereich Security Testing Security Testing OWASP Hardware: Sicherheit ...
Sprecher & Experte im Bereich Security Testing

Auf einer Sicherheitskonferenz habe ich als Sprecher einem Vortrag mit dem Titel (auf Anfrage) eine Sicherheitslücke vorgestellt. Ein Teil der Software akzeptierte beliebige User-Agents ungefiltert, was ausgenutzt werden konnte, um über die Exportfunktion des Reporting-Tools eine bösartige Excel-Datei zu erzeugen. Über diese kann ein Angreifer unter Umständen Remote Code Execution (RCE) auf dem Rechner eines Administrators erlangen. Die Details der Schwachstelle, den Weg zu ihrer Entdeckung und Lösungsansätze habe ich in englischer Sprache vor ca. 100 japanischen Sicherheitsexperten präsentiert.


Aufgaben:

  • Präsentation zum Thema "Abusing Webapp Reports for RCE" auf einer Sicherheitskonferenz in Tokyo
    Als Sprecher & Experte im Bereich Security Testing habe ich bei einer Sicherheitskonferenz einen Vortrag in PowerPoint und POC-Video in englischer Sprache vorbereitet und gehalten. Dabei ging es um das Software Security Testing nach OWASP als anerkanntes Framework, das beim Aufbau einer unternehmensweiten Testkultur sowie Prozesse helfen kann.
  • Erarbeitung von Beispielen und Best Practices aus CVE und CWE für die Präsentation
    Für meinen Vortrag suche ich zunächst praktische Beispiele für CVE (Common Vulnerabilities and Exposures), die mit einer CVE-Nummer in der Liste der öffentlichen Sicherheitslücken von Computersystemen aufgeführt sind. Anhand der CWE (Common Weakness Enumeration) kategorisiere ich anschauliche Beispiele für Hard- und Softwareschwachstellen und nutze dazu Tools wie Burp Suite, Mimikatz und Charles.
PowerPoint Burp Suite Mimikatz Charles Charles Proxy CVE CWE OWASP XCTest
Security Testing OWASP Hardware: Sicherheit Kommunikation Präsentationen Wissenstransfer Coaching CVE (Common Vulnerabilities and Exposures) CWE (Common Weakness Enumeration) Hard- und Softwareschwachstellen Testautomatisierung
DRACOON
7 Monate
2023-03 - 2023-09

Testautomatisierung von iOS Apps im sicherheitskritischen Umfeld

Software Tester Evaluierung von Testautomatisierungstools Implementierung eines Testautomatisierungstools Testautomatisierung ...
Software Tester
Ziel des Projektes ist es, ein geeignetes Framework für die Testautomatisierung der iOS und iPadOS App zu suchen und zu finden. Dabei soll das Framework unter verschiedenen Gesichtspunkten wie Geschwindigkeit und Zuverlässigkeit evaluiert werden. Das Framework, welches die Anforderungen am besten erfüllt, ist XCtest/ XCUItest. Das Framework soll eingesetzt werden, um Tests für die Apps zu automatisieren. Insbesondere sollen sicherheitskritische Teile der Software, wie z.B. die Verschlüsselung von Dateien und die PIN-Sperre der App, getestet werden. Die Ergebnisse werden analysiert, dokumentiert und an die Entwicklungsabteilung weitergeleitet. Anschließend sollen die Bugfixes automatisiert verifiziert werden.
  • Evaluierung von Testautomatisierungstools für die iOS und iPadOS Apps und Bewertung nach Kriterien
    Ich informiere mich über relevante Testautomatisierungs-Frameworks und liste deren Eigenschaften auf. Dann erstelle ich mit den Stakeholdern harte und weiche Kriterien, die das Framework erfüllen muss. Ich sortiere die Eigenschaften nach den Kriterien, um eine objektive Vergleichbarkeit zu schaffen und das passende Framework auszuwählen. Wir haben XCUITest/ Swift und Appium verwendet.
  • Implementierung eines Testautomatisierungstools, Erstellung der Testpläne und der Tests mit XCTest
    Ich plane die E2E-Tests mit XCTest anhand der von den Stakeholdern vorgegebenen Kriterien und lege fest, welche Teile der Software getestet werden. Anschließend erstelle ich die Tests anhand der Spezifikationen in Swift mit XCtest und XCUItest und teste die Software. Die Ergebnisse, Bugs und Sicherheitslücken werden verifiziert, dokumentiert und mit den beteiligten Entwicklern geteilt.
Cucumber Xcode Swift XCUITest Appium Earlgrey Gherkin TestNG XCTest Evaluierung von Testautomatisierungstools
Evaluierung von Testautomatisierungstools Implementierung eines Testautomatisierungstools Testautomatisierung Mobile Testing Java SCRUM Agile Vorgehensweise Vermittlung zwischen Stakeholdern Kommunikation Planung Steuerung E2E-Tests Testpläne Testfallreview Testressourcenplanung E2E End2End
DRACOON
1 Monat
2022-09 - 2022-09

Präsentation zu Methoden der Visualisierung und Priorisierung von Testautomatisierungsaufwänden

Sprecher & Software Testing Experte Prozessschulungen Best Practice Testautomatisierung ...
Sprecher & Software Testing Experte

Zusammen mit einem Kollegen habe ich im Vortrag "Testing-Landscape mit Control Flow und Decision Table" vor ca. 100 Zuhörern Methoden zur Visualisierung und Priorisierung von Testautomatisierungsaufwänden für Softwarefeatures vorgestellt. Zuvor hatten wir uns als Sprecher für Testbirds "Bugs, Bier und Brezn" beworben und das Thema anhand von Beispielen aus der Praxis in einer PowerPoint-Präsentation aufbereitet. Testbirds ist ein Anbieter von QA und UX Software Crowdtesting, der im Jahr 2022 unter dem Motto ?Bugs, Bier & Brezn? zu einem Event einlädt. Im Anschluss an den Vortrag stellten wir uns den Fachfragen der anwesenden Besuchern.

Aufgabe:

  • Präsentation zu Methoden der Visualisierung und Priorisierung von Testautomatisierungsaufwänden
    Ich bereite die PowerPoint-Präsentation mit dem Titel "Testing-Landscape mit Control Flow und Decision Table" mit vor und halte sie auf der oben genannten Veranstaltung vor einem Fachpublikum. Im Vortrag erläutern wir die Anwendung von Kontrollflussanalysen und Entscheidungstabellen zur Optimierung von Testabdeckungen und Testprozessen sowie zur effizienten Gestaltung von Teststrategien.
PowerPoint MS Office Teststrategie
Prozessschulungen Best Practice Testautomatisierung Kommunikation Präsentationen Schulungen Wissenstransfer Testmanagement Softwaretest Coaching
DRACOON

Aus- und Weiterbildung

Aus- und Weiterbildung

1 Monat
2023-11 - 2023-11

ISTQB® Certified Tester Foundation Level (CTFL)

GASQ Service GmbH
GASQ Service GmbH
6 Jahre 1 Monat
2017-09 - 2023-09

Studium - Informatik

Ostbayerische Technische Hochschule Regensburg
Ostbayerische Technische Hochschule Regensburg
3 Jahre 1 Monat
2009-09 - 2012-09

kaufmännische Ausbildung im Bereich Logistik

Bürokaufmann, Meiller Logistik GmbH
Bürokaufmann
Meiller Logistik GmbH

Position

Position

Security Engineer & Software Test Engineer

Kompetenzen

Kompetenzen

Schwerpunkte

Security Testing
Experte
Testautomatisierung
Experte
Testkonzeption
Experte
Erstellung der Testpläne
Experte
Testmanagement
Experte
OIDC
Fortgeschritten
Pentesting
Threat Modeling
Bedrohungsanalyse

Produkte / Standards / Erfahrungen / Methoden

Profil & Werdegang
Profil
Als ISTQB® Certified Software Test Engineer verfügt der Mitarbeiter über langjährige Erfahrung im manuellen und automatisierten Testen. Der Security Engineer hat sich auf die Identifizierung von Sicherheitslücken und das Durchführung von Pentests zur Überprüfung der Sicherheit einer IT-Landschaft oder von (Web-)Anwendungen spezialisiert. Er ist routiniert im Aufbau einer Testautomatisierung, in der Koordination der Tests sowie bei der Erstellung und Verwaltung von Testplänen zur Verbesserung der Testprozesse. Er hat Erfahrung in der Leitung des Re-Designs und Optimierung von Benutzeroberflächen (UX/UI) sowie in der Rekrutierung und im Onboarding neuer QA-Mitarbeiter im Projekt. Der  Security Engineer kann sich schnell an unterschiedliche Aufgaben und Anforderungen anpassen. Er ist in der Lage, komplexe Problemstellungen zu operationalisieren und strukturierte Lösungsansätze zu entwickeln und umzusetzen. Seine Organisations- und Kommunikationsfähigkeit bringt er ebenso erfolgreich in das Projekt ein wie seine ausgeprägte Teamfähigkeit.

beruflicher Werdegang

09/2024 - heute
Firma: auf Anfrage
Position: Security Engineer
  • Security Testing und Pentests, Testautomatisierung, Planung der Tests & Ressourcen, Testmanagement

03/2019 - 08/2024
Firma: DRACOON GmbH
Position: Software Engineer & Tester
  • Security Testing und Pentesting nach OWASP, Software Entwicklung, Testautomatisierung, Testanalyse

Kenntnisse
  • Testautomatisierung
    • Cucumber
    • Definieren und Anlegen von Testdaten
    • E2E-Tests
    • Earlgrey
    • Evaluierung von Testautomatisierungstools
    • Gherkin
    • Implementierung eines Testautomatisierungstools
    • PowerShell
    • TestNG
    • Testpläne
    • XCTest
  • Teststufen/ Testarten
    • E2E/ End2End
    • Integrationstest
    • Regressionstests
    • Softwaretest
    • Systemintegrationstest
    • Systemtest
    • Usability Tests
    • User Acceptance Tests (UAT)
  • Soft Skills
    • Genauigkeit
    • Kommunikation
    • Präsentationen
    • Retrospektive
    • Teamfähigkeit
    • Vermittlung zwischen Stakeholdern
    • Wissenstransfer
  • Vorgehensmodelle
    • Agile Vorgehensweise
    • Best Practice
    • Coaching
    • Continuous Integration
    • KANBAN
    • Manuelles Testing
    • SCRUM
  • Security Testing
    • Burp Suite
    • CVE
    • CWE
    • Caido
    • Mimikatz
    • OWASP
  • Frameworks
    • Spring
    • Swagger
    • Swift
    • XCUITest
    • npm
  • Testmanagement
    • Testfallreview
    • Testmanagement
    • Testressourcenplanung
    • Teststrategie
    • Xray - Test Management for Jira
  • Entwicklungsumgebungen
    • IntelliJ
    • Jetbrains (IDE Suite)
    • Xcode
  • Sonstige
    • HashiCorp Vault
    • Sketch
    • bash
  • Applikationen
    • Charles Proxy
    • User UI
  • Testing
    • API Tests
    • Testautomatisierung
  • Versionsverwaltung
    • Git
    • GitLab
  • Virtualisierung
    • Docker
    • VMware
  • manuelles Testing
    • Erstellung von Testplänen
    • manuelles Testing
  • Anforderungsmanagement
    • ?Konzeptionierung
  • Architektur
    • Micro-Services
  • Buildmanagement
    • Maven
  • Cloud
    • Kubernetes
  • Container
    • Helm
  • Defektmanagement
    • Jira
  • MS Office
    • PowerPoint
  • Mobile Testing
    • Appium
  • Monitoring
    • Jira + X-ray
  • Personalthemen
    • Beweberinterviews
  • Projektleitung/Teilprojektleitung
    • Planung, Steuerung, Kommunikation
  • Schnittstellen
    • REST-API
  • Schulungen
    • Prozessschulungen
  • Sicherheit
    • OIDC
  • Testkoordination
    • Koordination von internen und externen Testressourcen
  • Testwerkzeuge
    • SonarQube
  • Vorgehensweise
    • Exploratives Testing

Betriebssysteme

Android
Basics
Linux
Fortgeschritten
MacOS
Experte
Windows 10
Experte
iOS
Experte

Programmiersprachen

Java
Fortgeschritten
Javascript
Basics
Python
Basics

Hardware

Sicherheit
Fortgeschritten

Branchen

Branchen

  • Softwarehersteller
  • IT-Dienstleister
  • Anbieter von Cloud-Lösungen

Einsatzorte

Einsatzorte

Deutschland
möglich

Projekte

Projekte

5 Jahre 6 Monate
2019-03 - 2024-08

Security Testing der Cloudlösung

Security Engineer Security Testing Sicherheit: OIDC Netzwerk-Monitoring ...
Security Engineer

DRACOON ist Marktführer im Bereich Enterprise File Services bietet eine Cloud-Lösung für den sicheren Dateiaustausch an. Mit DRACOON können Unternehmen ihre sensiblen Daten in vor unbefugtem Zugriff schützen und bei der Einhaltung gesetzlicher Vorschriften, wie TISAX, KRITIS, NIS-2 oder DSGVO unterstützt werden. Ziel des Projektes ist das Security Testing der eigenentwickelten Cloud-Lösung DRACOON. Die Identifizierung von Sicherheitslücken und der Aufbau eines Frameworks in Python zum automatisierten Testen von modernen Timing- und Race-Condition-Angriffen sind dabei von zentraler Bedeutung. Ein weiterer Schwerpunkt des Projekts liegt auf der manuellen Identifizierung von Sicherheitslücken durch Pentesting-Methoden aller Frontend-Clients sowie der in einer unter Docker betriebenen Microservice-Architektur.


Aufgaben:

  • Aufbau des Frameworks in Python zum automatisierten Testen von Timing- und Race-Condition-Angriffen
    Ich bin verantwortlich für die Konzeption und Koordination des Security Testings sowie für die Entwicklung eines Testautomatisierungs-Frameworks in Python. Das Framework dient dem automatisierten Testen von modernen Timing- und Race-Condition-Angriffen. Dabei erstelle ich die Testpläne und teste die Frontend-Clients und Micro-Services in Docker manuell und explorativ mit Pentesting-Methoden.
  • Identifizierung von Sicherheitslücken mit Mimikatz für Pass-the-Hash-Angriffe in Windows
    Ich definiere die Angriffsoberfläche und übernehme die Identifizierung von Sicherheitslücken sowie die Planung, Steuerung und Kommunikation dazu. Dabei nutze ich Mimikatz zum Erfassen von Anmeldeinformationen und zum Durchführen von Pass-the-Hash-Angriffen in Windows-Betriebssystemen. Ich lasse mir Passwörter im Klartext anzeigen, um Hashes zu extrahieren und Sicherheitslücken aufzudecken.
  • Entdeckung von Sicherheitslücken in der Cloud-Lösung mit Burp Suite und über OIDC
    Mit der Burp Suite kann ich den HTTP/HTTPS-Verkehr zu Anwendungen abfangen und manipulieren, bevor er an den Server gesendet wird. Dadurch können Sicherheitslücken in der selbst entwickelten Cloud-Lösung DRACOON schnell und effektiv aufgedeckt werden. OIDC ermöglicht es mir, die Identität eines Endnutzers gegenüber Clients durch die Authentifizierung über einen Autorisierungsserver zu bestätigen.
  • Netzwerk-Monitoring, Analyse des Netzwerkverkehrs und Aufdeckung von Sicherheitslücken mit Caido
    Ich bin zuständig für die Überwachung des Netzwerks und Dokumentation des Monitorings in Jira, um eine optimale Verfügbarkeit und Leistung sicherzustellen. Caido ist ein Open-Source-Tool, das ich zur Überwachung und Analyse des Netzwerks verwende. Ich setze es ein, um den Netzwerkverkehr zu überwachen, Sicherheitslücken aufzudecken, Angriffe zu erkennen und die Netzwerkleistung zu optimieren.
  • Testmanagement, Testressourcenplanung und Coaching von Werkstudenten im Bereich Security Testing
    Ich koordiniere und kontrolliere die sicherheitsrelevanten Testaktivitäten in Xray - Test Management for Jira. Gleichzeitig betreue ich Werkstudenten im Bereich Security Testing der Cloud-Lösung. Dabei übernehme ich die Einarbeitung ins Security Testing und ein ausführliches Coaching. Ich plane Testressourcen und weise Aufgaben zu. Ich gebe mein Wissen weiter und wir arbeiten agil im Projekt.
Mimikatz Charles Proxy Burp Suite Caido Docker VMware Windows 10 Jira + X-ray Xray - Test Management for Jira MITRE ATT&CK Atlassian JIRA
Security Testing Sicherheit: OIDC Netzwerk-Monitoring Hardware Sicherheit Testautomatisierung Manuelles Testing Exploratives Testing Agile Vorgehensweise Konzeptionierung Micro-Services Python Testpläne Koordination von internen und externen Testressourcen Regressionstests Softwaretest Virtualisierung Planung Steuerung Kommunikation Genauigkeit Wissenstransfer Testmanagement Testressourcenplanung Coaching Teamfähigkeit Risk Assessment Threat Modeling OWASP Anforderungsmanagement OIDC Entdeckung von Sicherheitslücken in der Cloud-Lösung mit Burp Suite
DRACOON
5 Jahre 6 Monate
2019-03 - 2024-08

QS der Cloud-Lösung DRACOON

Software Engineer Aufbau der Testautomatisierung in Java Definieren und Anlegen von Testdaten Testmanagement ...
Software Engineer

Ziel des Projektes ist die Sicherstellung der Zuverlässigkeit und Funktionalität der Softwarekomponenten für die eigenentwickelte Cloud-Lösung DRACOON im Bereich Enterprise File Services. Im Rahmen der Software-Qualitätssicherung legt das Unternehmen großen Wert auf die kontinuierliche Verbesserung der Testprozesse sowie den Auf- und Ausbau der Testautomatisierung in der QA-Abteilung. Es sollen Frontend-Clients unter Windows, macOS, iOS, iPadOS, Android und Web sowie die Integration der Software unter Linux getestet werden. Darüber hinaus sollen sowohl manuelle als auch automatisierte Tests einer unter Docker betriebenen Microservice-Architektur durchgeführt und aufgesetzt werden. Dies beinhaltet unter anderem die Planung und Koordination der Tests und des gesamten Qualitätssicherungsprozesses.


Aufgaben:

  • Erstellung von Basic- und Functional-Tests mit Citrus zum Aufbau der Testautomatisierung in Java
    Um die Funktionalität der DRACOON Softwarekomponenten sicherzustellen, führe ich Basis-, Funktions- und Integrationstests in Citrus, Cucumber und Gherkin durch. Ich bin verantwortlich für das Definieren und Anlegen von Testdaten zum Aufbau und zur Implementierung der Testautomatisierung in Java und Swift sowie für die Vorbereitung der Tests der unter Docker betriebenen Micro-Services-Architektur.
  • Testmanagement in Jira, Erstellung von Testplänen zur Testautomatisierung und Testprozessoptimierung
    Im SCRUM-Projekt sorge ich eigenverantwortlich für die Bereitstellung der Testinfrastruktur, die kontinuierliche Verbesserung der Testprozesse und die Umsetzung der Anforderungen in Testfälle. Ich überwache die Testdurchführung und berichte der Projektleitung den Status. Ich erstelle und verwalte die Testpläne für die Testautomatisierung und das manuelle Testen in Xray - Test Management for Jira.
  • Entwicklung eines Bash-Skripts zur Analyse und Extraktion von Informationen aus einer REST-API
    Basierend auf den Spezifikationen von Swagger entwickle ich ein Bash-Skript zur effizienten Analyse und Extraktion relevanter Informationen aus einer REST-API sowie zur Optimierung von Entwicklungs- und Integrationsprozessen. Im Projekt ist, wie bei den meisten GNU/ Linux basierten Betriebssystemen, bash die voreingestellte Schnittstelle, die ich dann durch API Tests verifiziere.
  • Entwicklung eines Frameworks zur Durchführung automatisierter Integrationstests mit XCTest/ XCUItest
    Ich entwickle ein Framework zur Durchführung von automatisierten Integrations- und UI-Tests mit XCTest und XCUItest. Dies beinhaltet auch die Implementierung von automatisierten Tests in Java für Multitasking-Funktionalitäten. Durch den Auf- und Ausbau der Testautomatisierung entfallen manuelle Testschritte und der Releaseprozess wird beschleunigt.
  • Leitung des Redesigns der Benutzeroberfläche und der Usability Tests der App mit Sketch und Appium
    Ich steuere das Redesign und Testen der Benutzeroberfläche für die iOS und Android Apps. Mit meinem Know-how im UX/UI Design mit Sketch, über iOS und Android HIG (Human Interface Guidelines), erreiche ich eine Reduktion der Klicks zur Erstellung von Shares um 70%. Um die User Experience zu verbessern, passe ich die Apps an die Haupt-Webanwendung an. Das Design erstelle ich modular in Sketch.
  • Entwicklung von Bash- und PowerShell-Skripten zur Automatisierung von Prozessen mit Javascript
    Ich verantworte auch den Rekrutierungsprozess in der QS-Abteilung. Dies beinhaltet die Koordination der Bewerbungsverfahren und die Auswahl der Kandidaten. Dafür entwickle ich ein Bash- und PowerShell-Skript zur Automatisierung des Onboarding-Prozesses mit Javascript und Spring in Jetbrains (IDE Suite). So kann ich die Einarbeitungszeit auf Linux, MacOS und Windows um 90% reduziert werden.
bash TestNG Cucumber Gherkin XCUITest SonarQube Appium Swagger XCTest Sketch Maven HashiCorp Vault Jira Xray - Test Management for Jira Docker Git GitLab Linux IntelliJ REST-API Micro-Services Java Android MacOS iOS Windows 10 Helm Jetbrains (IDE Suite) Spring npm PowerShell
Aufbau der Testautomatisierung in Java Definieren und Anlegen von Testdaten Testmanagement Continuous Integration Agile Vorgehensweise Testautomatisierung SCRUM KANBAN Manuelles Testing Exploratives Testing Architektur: Micro-Services Java Cucumber Gherkin TestNG Integrationstest Softwaretest Systemintegrationstest Systemtest Virtualisierung: Docker Defektmanagement Genauigkeit Testpläne Testfallreview Best Practice Erstellung von Testplänen Schnittstellen API Tests User UI Mobile Testing Usability Tests User Acceptance Tests (UAT) Container Personalthemen: Bewerberinterviews Javascript Planung Steuerung Kommunikation Teamfähigkeit Wissenstransfer bash PowerShell Erstellung von Testplänen zur Testautomatisierung Testprozessoptimierung Usability Tests der App Entwicklung von Bash- und PowerShell-Skripten Automatisierung von Prozessen mit Javascript
DRACOON
1 Monat
2023-09 - 2023-09

Vortrag

Sprecher & Experte im Bereich Security Testing Security Testing OWASP Hardware: Sicherheit ...
Sprecher & Experte im Bereich Security Testing

Auf einer Sicherheitskonferenz habe ich als Sprecher einem Vortrag mit dem Titel (auf Anfrage) eine Sicherheitslücke vorgestellt. Ein Teil der Software akzeptierte beliebige User-Agents ungefiltert, was ausgenutzt werden konnte, um über die Exportfunktion des Reporting-Tools eine bösartige Excel-Datei zu erzeugen. Über diese kann ein Angreifer unter Umständen Remote Code Execution (RCE) auf dem Rechner eines Administrators erlangen. Die Details der Schwachstelle, den Weg zu ihrer Entdeckung und Lösungsansätze habe ich in englischer Sprache vor ca. 100 japanischen Sicherheitsexperten präsentiert.


Aufgaben:

  • Präsentation zum Thema "Abusing Webapp Reports for RCE" auf einer Sicherheitskonferenz in Tokyo
    Als Sprecher & Experte im Bereich Security Testing habe ich bei einer Sicherheitskonferenz einen Vortrag in PowerPoint und POC-Video in englischer Sprache vorbereitet und gehalten. Dabei ging es um das Software Security Testing nach OWASP als anerkanntes Framework, das beim Aufbau einer unternehmensweiten Testkultur sowie Prozesse helfen kann.
  • Erarbeitung von Beispielen und Best Practices aus CVE und CWE für die Präsentation
    Für meinen Vortrag suche ich zunächst praktische Beispiele für CVE (Common Vulnerabilities and Exposures), die mit einer CVE-Nummer in der Liste der öffentlichen Sicherheitslücken von Computersystemen aufgeführt sind. Anhand der CWE (Common Weakness Enumeration) kategorisiere ich anschauliche Beispiele für Hard- und Softwareschwachstellen und nutze dazu Tools wie Burp Suite, Mimikatz und Charles.
PowerPoint Burp Suite Mimikatz Charles Charles Proxy CVE CWE OWASP XCTest
Security Testing OWASP Hardware: Sicherheit Kommunikation Präsentationen Wissenstransfer Coaching CVE (Common Vulnerabilities and Exposures) CWE (Common Weakness Enumeration) Hard- und Softwareschwachstellen Testautomatisierung
DRACOON
7 Monate
2023-03 - 2023-09

Testautomatisierung von iOS Apps im sicherheitskritischen Umfeld

Software Tester Evaluierung von Testautomatisierungstools Implementierung eines Testautomatisierungstools Testautomatisierung ...
Software Tester
Ziel des Projektes ist es, ein geeignetes Framework für die Testautomatisierung der iOS und iPadOS App zu suchen und zu finden. Dabei soll das Framework unter verschiedenen Gesichtspunkten wie Geschwindigkeit und Zuverlässigkeit evaluiert werden. Das Framework, welches die Anforderungen am besten erfüllt, ist XCtest/ XCUItest. Das Framework soll eingesetzt werden, um Tests für die Apps zu automatisieren. Insbesondere sollen sicherheitskritische Teile der Software, wie z.B. die Verschlüsselung von Dateien und die PIN-Sperre der App, getestet werden. Die Ergebnisse werden analysiert, dokumentiert und an die Entwicklungsabteilung weitergeleitet. Anschließend sollen die Bugfixes automatisiert verifiziert werden.
  • Evaluierung von Testautomatisierungstools für die iOS und iPadOS Apps und Bewertung nach Kriterien
    Ich informiere mich über relevante Testautomatisierungs-Frameworks und liste deren Eigenschaften auf. Dann erstelle ich mit den Stakeholdern harte und weiche Kriterien, die das Framework erfüllen muss. Ich sortiere die Eigenschaften nach den Kriterien, um eine objektive Vergleichbarkeit zu schaffen und das passende Framework auszuwählen. Wir haben XCUITest/ Swift und Appium verwendet.
  • Implementierung eines Testautomatisierungstools, Erstellung der Testpläne und der Tests mit XCTest
    Ich plane die E2E-Tests mit XCTest anhand der von den Stakeholdern vorgegebenen Kriterien und lege fest, welche Teile der Software getestet werden. Anschließend erstelle ich die Tests anhand der Spezifikationen in Swift mit XCtest und XCUItest und teste die Software. Die Ergebnisse, Bugs und Sicherheitslücken werden verifiziert, dokumentiert und mit den beteiligten Entwicklern geteilt.
Cucumber Xcode Swift XCUITest Appium Earlgrey Gherkin TestNG XCTest Evaluierung von Testautomatisierungstools
Evaluierung von Testautomatisierungstools Implementierung eines Testautomatisierungstools Testautomatisierung Mobile Testing Java SCRUM Agile Vorgehensweise Vermittlung zwischen Stakeholdern Kommunikation Planung Steuerung E2E-Tests Testpläne Testfallreview Testressourcenplanung E2E End2End
DRACOON
1 Monat
2022-09 - 2022-09

Präsentation zu Methoden der Visualisierung und Priorisierung von Testautomatisierungsaufwänden

Sprecher & Software Testing Experte Prozessschulungen Best Practice Testautomatisierung ...
Sprecher & Software Testing Experte

Zusammen mit einem Kollegen habe ich im Vortrag "Testing-Landscape mit Control Flow und Decision Table" vor ca. 100 Zuhörern Methoden zur Visualisierung und Priorisierung von Testautomatisierungsaufwänden für Softwarefeatures vorgestellt. Zuvor hatten wir uns als Sprecher für Testbirds "Bugs, Bier und Brezn" beworben und das Thema anhand von Beispielen aus der Praxis in einer PowerPoint-Präsentation aufbereitet. Testbirds ist ein Anbieter von QA und UX Software Crowdtesting, der im Jahr 2022 unter dem Motto ?Bugs, Bier & Brezn? zu einem Event einlädt. Im Anschluss an den Vortrag stellten wir uns den Fachfragen der anwesenden Besuchern.

Aufgabe:

  • Präsentation zu Methoden der Visualisierung und Priorisierung von Testautomatisierungsaufwänden
    Ich bereite die PowerPoint-Präsentation mit dem Titel "Testing-Landscape mit Control Flow und Decision Table" mit vor und halte sie auf der oben genannten Veranstaltung vor einem Fachpublikum. Im Vortrag erläutern wir die Anwendung von Kontrollflussanalysen und Entscheidungstabellen zur Optimierung von Testabdeckungen und Testprozessen sowie zur effizienten Gestaltung von Teststrategien.
PowerPoint MS Office Teststrategie
Prozessschulungen Best Practice Testautomatisierung Kommunikation Präsentationen Schulungen Wissenstransfer Testmanagement Softwaretest Coaching
DRACOON

Aus- und Weiterbildung

Aus- und Weiterbildung

1 Monat
2023-11 - 2023-11

ISTQB® Certified Tester Foundation Level (CTFL)

GASQ Service GmbH
GASQ Service GmbH
6 Jahre 1 Monat
2017-09 - 2023-09

Studium - Informatik

Ostbayerische Technische Hochschule Regensburg
Ostbayerische Technische Hochschule Regensburg
3 Jahre 1 Monat
2009-09 - 2012-09

kaufmännische Ausbildung im Bereich Logistik

Bürokaufmann, Meiller Logistik GmbH
Bürokaufmann
Meiller Logistik GmbH

Position

Position

Security Engineer & Software Test Engineer

Kompetenzen

Kompetenzen

Schwerpunkte

Security Testing
Experte
Testautomatisierung
Experte
Testkonzeption
Experte
Erstellung der Testpläne
Experte
Testmanagement
Experte
OIDC
Fortgeschritten
Pentesting
Threat Modeling
Bedrohungsanalyse

Produkte / Standards / Erfahrungen / Methoden

Profil & Werdegang
Profil
Als ISTQB® Certified Software Test Engineer verfügt der Mitarbeiter über langjährige Erfahrung im manuellen und automatisierten Testen. Der Security Engineer hat sich auf die Identifizierung von Sicherheitslücken und das Durchführung von Pentests zur Überprüfung der Sicherheit einer IT-Landschaft oder von (Web-)Anwendungen spezialisiert. Er ist routiniert im Aufbau einer Testautomatisierung, in der Koordination der Tests sowie bei der Erstellung und Verwaltung von Testplänen zur Verbesserung der Testprozesse. Er hat Erfahrung in der Leitung des Re-Designs und Optimierung von Benutzeroberflächen (UX/UI) sowie in der Rekrutierung und im Onboarding neuer QA-Mitarbeiter im Projekt. Der  Security Engineer kann sich schnell an unterschiedliche Aufgaben und Anforderungen anpassen. Er ist in der Lage, komplexe Problemstellungen zu operationalisieren und strukturierte Lösungsansätze zu entwickeln und umzusetzen. Seine Organisations- und Kommunikationsfähigkeit bringt er ebenso erfolgreich in das Projekt ein wie seine ausgeprägte Teamfähigkeit.

beruflicher Werdegang

09/2024 - heute
Firma: auf Anfrage
Position: Security Engineer
  • Security Testing und Pentests, Testautomatisierung, Planung der Tests & Ressourcen, Testmanagement

03/2019 - 08/2024
Firma: DRACOON GmbH
Position: Software Engineer & Tester
  • Security Testing und Pentesting nach OWASP, Software Entwicklung, Testautomatisierung, Testanalyse

Kenntnisse
  • Testautomatisierung
    • Cucumber
    • Definieren und Anlegen von Testdaten
    • E2E-Tests
    • Earlgrey
    • Evaluierung von Testautomatisierungstools
    • Gherkin
    • Implementierung eines Testautomatisierungstools
    • PowerShell
    • TestNG
    • Testpläne
    • XCTest
  • Teststufen/ Testarten
    • E2E/ End2End
    • Integrationstest
    • Regressionstests
    • Softwaretest
    • Systemintegrationstest
    • Systemtest
    • Usability Tests
    • User Acceptance Tests (UAT)
  • Soft Skills
    • Genauigkeit
    • Kommunikation
    • Präsentationen
    • Retrospektive
    • Teamfähigkeit
    • Vermittlung zwischen Stakeholdern
    • Wissenstransfer
  • Vorgehensmodelle
    • Agile Vorgehensweise
    • Best Practice
    • Coaching
    • Continuous Integration
    • KANBAN
    • Manuelles Testing
    • SCRUM
  • Security Testing
    • Burp Suite
    • CVE
    • CWE
    • Caido
    • Mimikatz
    • OWASP
  • Frameworks
    • Spring
    • Swagger
    • Swift
    • XCUITest
    • npm
  • Testmanagement
    • Testfallreview
    • Testmanagement
    • Testressourcenplanung
    • Teststrategie
    • Xray - Test Management for Jira
  • Entwicklungsumgebungen
    • IntelliJ
    • Jetbrains (IDE Suite)
    • Xcode
  • Sonstige
    • HashiCorp Vault
    • Sketch
    • bash
  • Applikationen
    • Charles Proxy
    • User UI
  • Testing
    • API Tests
    • Testautomatisierung
  • Versionsverwaltung
    • Git
    • GitLab
  • Virtualisierung
    • Docker
    • VMware
  • manuelles Testing
    • Erstellung von Testplänen
    • manuelles Testing
  • Anforderungsmanagement
    • ?Konzeptionierung
  • Architektur
    • Micro-Services
  • Buildmanagement
    • Maven
  • Cloud
    • Kubernetes
  • Container
    • Helm
  • Defektmanagement
    • Jira
  • MS Office
    • PowerPoint
  • Mobile Testing
    • Appium
  • Monitoring
    • Jira + X-ray
  • Personalthemen
    • Beweberinterviews
  • Projektleitung/Teilprojektleitung
    • Planung, Steuerung, Kommunikation
  • Schnittstellen
    • REST-API
  • Schulungen
    • Prozessschulungen
  • Sicherheit
    • OIDC
  • Testkoordination
    • Koordination von internen und externen Testressourcen
  • Testwerkzeuge
    • SonarQube
  • Vorgehensweise
    • Exploratives Testing

Betriebssysteme

Android
Basics
Linux
Fortgeschritten
MacOS
Experte
Windows 10
Experte
iOS
Experte

Programmiersprachen

Java
Fortgeschritten
Javascript
Basics
Python
Basics

Hardware

Sicherheit
Fortgeschritten

Branchen

Branchen

  • Softwarehersteller
  • IT-Dienstleister
  • Anbieter von Cloud-Lösungen

Vertrauen Sie auf Randstad

Im Bereich Freelancing
Im Bereich Arbeitnehmerüberlassung / Personalvermittlung

Fragen?

Rufen Sie uns an +49 89 500316-300 oder schreiben Sie uns:

Das Freelancer-Portal

Direktester geht's nicht! Ganz einfach Freelancer finden und direkt Kontakt aufnehmen.