Nord Nord Sec #39

Moin, Hallo, Ahoi und Herzlich Willkommen zur neuesten Ausgabe von Nord-Nord-Sec.

Ho ho ho Hallo zusammen bei der nächsten Ausgabe von Nord-Nord-Sec! Freut mich, das ihr auch in der Vorweihnachtszeit die Zeit findet, meinen Newsletter zu lesen.

Um möglichst viel Zeit für heissen Punsch, Lebkuchen und alles was schön und lecker ist zu lassen - ab dafür!

Artikel

Exploits, Hacks und Schwachstellen

⚡️ Jenkins | Security Advisory 2024-11-27 Auch bei Jenkins gibt es wied ein paar Sicherheitslücken. Kuckt mal lieber nach, ob ihr da updaten könnt und erspart euch Incidents über die Feiertage 🎅 

DoS in einer verwendeten json-Bibliothek, Stored XSS im Simple Queue Plugin und ein mögliches Path Traversal im Filesystem List Parameter Plugin. 💡 

🪣 Intigriti | Hacking Misconfigured Cloudflare R2 Buckets Bei einem Pentest bin ich letzte Woche über eine neue Art Buckets gestolptert: Cloudflare R2 Buckets. Letztendlich sind diese aus Angreifersicht genau so interessant wie AWS S3 Buckets - Sie sind Storage-Töpfe für Web Applikationen.

Hier haben die Kolleg*innen von Intigriti ein paar Tips gesammelt, wie ihr diese während eurer Einsätze findet und euch vor Falsch-Positiven Reports schützt.

🔓️ Intigriti | Broken authentication: A complete guide to exploiting advanced authentication vulnerabilites Ich werde immer mehr zum Fan der Intigriti Artikel - dementsprechend fasse Ich mich kurz: Ihr habt mal AuthZ und AuthN irgendwie zu tun? Reinschauen!

Konzepte, Reports und Ideen

🧑‍🏫 Embrace The Red | Web Application Security Fundamentals Definitiv sinnvoll investierte knapp dreissig Minuten. Wenn Ihr die Web Security einsteigen wollt, oder mal eine Auffrischung braucht, schaut hier einfach mal rein. HTTP, HTML, Javascript, Cookies, Same-Origin-Policy werden erklärt und auf die Security Implikationen eingegangen.

🎙️ Tisiphone | Some of my favorite talks in 2024 Eine Handvoll neuer Talks von Lesley Carhart für eure Playlist. Industrial Cybersecurity, AI in Cybersecurity, 10 Years of Lessons from Cybersecurity Mentors und Lessons learned from OT Incident Response. Ich bin dann mal weg in meiner Video-Höhle 👋 

Tech

📙 Troy Hunt | “Pwned”, The Book, Is Now Available for Free Wusstet ihr, das Troy Hunt - Erfinder und Betreiber von haveibeenpwned - auch ein Buch geschrieben hat? Ich wusste das schon, hatte es aber bisher noch nicht (gelesen). Die Gelegenheit ist jetzt günstig wie nie - Denn jetzt ist das Buch kostenlos 👍️ 

🧑‍💻 Papperlapapp - Spaß mit Klammern | Die typischen UX Fehler im Dashboard Design und wie ihr sie verhindert! Als jemand der sich sehr wenig mit UX, UI und Co beschäftigt, ist es doch immer mal wieder Interessant, sich mit guten und schlechtem Design in Software zu beschäftigen. Dashboards begegnen uns auch immer häufiger in unserem (Berufs-)Alltag, in stark unterschiedlicher Qualität. Dank Stefan und Holger, konnte Ich meine Gefühle da etwas in Ordnung bringen und bin jetzt in der Lage, die auch mal adäquat auszudrücken.

Hier findet ihr, was der Kamerad KI herausgezogen hat.

📊 The Cyber Mentor | Getting to Know GraphQL Die mythische Technologie GraphQL - Quell der Freude für viele Pentester*innen - kommt zu der Ehre, im TCM Channel eingeführt zu werden. Sicher für viele ein Gewinn, kuckt mal rein und macht euch wenigstens rudimentär mit der Technologie vertraut. Gerade wenn ihr im Web-Umfeld tätig seid, wird euch das über den Weg laufen.

Menschen

🐻‍❄️ Alluring Arctic Sailing | I Bought a Sailboat to Start a Life in the Arctic Manchmal stolpert man über Videos oder Bücher von Menschen, die absolut faszinierend sind. Und Juho ist so jemand. Er sagt es so schön passend am Anfang des Videos: Die meisten Leute segeln in die Karibik - oder wo auch immer es warm ist. Aber das war nicht’s für ihn. Und so hat er seine Passion Skifahren mit dem Segeln verbunden. Und lebt jetzt Full-Time auf seinem Segelboot. Und segelt zu unberührten Ski-Tracks. Tolle Bilder, beeindruckende Natur, und einfach mal was ganz anderes, in das man eintauchen kann.

🔱 ARTEde | Sea Shepherd - Verfolgungsjagd auf hoher See Eine Doku wie ein Thriller! Ein Filmteam hat ein Schiff der Naturschutzorganisation Sea Shepherd begleitet, als Sie ein illegales Fischerboot auf frischer Tat ertappt und versucht Sie aufzuhalten und den Behörden zu übergeben. Super beeindruckend, Bildgewaltig und spannend.

Tools und Co.

🌤️ cloudguardrails.com Eine Sammlung von Infrastruktur Best-Practices für Cloudumgebungen. Open Source, Übersichtlich und wenn ihr euch das bookmarked sicher eine gute Referenz für das nächste Projekt, was neu auf die Beine gestellt werden soll.

🔎 Awseye Shodan - aber für AWS Accounts! Werft eine Account ID ins Suchfeld und seht, was davon öffentlich erreichbar/erkennbar ist. Oder macht eine kleine Awseye-Safari mit ein paar Klicks auf “Surpris me” 🕵️ 

Das Zitat der Woche ist dieses mal aus einem der Videos, die ich euch mitgebracht habe. Juho spricht vom Leben in der Arktis, von dem viele denken dass das eine Lebensfeindliche Umgebung sei. Aber es ist der Natur einfach egal, was du als Mensch dort machst.

Macht euch ein paar schöne Tage im Kreis eurer liebsten, versucht euch nicht zu sehr stressen zu lassen und wir sehen uns bald wieder.

Ich habe noch eine Spezialausgabe vorbereitet - ein kurzes Buch-Review meiner gelesenen Bücher des Jahres - das kommt auf jeden Fall noch vor 2025. Ansonsten kann ich für nichts garantieren 🎅 🎄 🎆 

Cheers,

Martin

PS: Euch gefällt was ihr hier lest? Schaut auch mal bei meinen Empfehlungen vorbei und meldet euch an. ❤️