AS-REP Roasting: Was ist das überhaupt?
Während eines internen Assessments fanden wir uns in einer restriktiven Testumgebung ohne gültige Logins wieder. Doch auch ohne authentifizierten Zugriff konnten wir ...
📰 DAVISEC Blog
Interne Recon: Was man ohne Adminrechte herausfindet
Wie wir in einem internen Pentest ohne privilegierten Zugang eine vollständige Netzwerkstruktur analysiert haben...
Fehlkonfiguration in M365: Conditional Access umgehen
Ein falsch gesetztes Conditional Access führt zur vollständigen Umgehung der Multi-Faktor-Authentifizierung...
Real World XSS in moderner API – so leicht geht's
Durch fehlerhafte Serialisierung war ein persistenter XSS in einer produktiven Kunden-API möglich – samt Demo-Exploit.
SSO Injection: Vom Login zur Domänen-Übernahme
In einem Red Team Engagement konnten wir mit einer SSO-Injection den Pfad zur vollständigen Domänenübernahme aufzeigen...