Nord Nord Sec #54

Moin, Hallo, Ahoi und Herzlich Willkommen zur neuesten Ausgabe von Nord-Nord-Sec.

Willkommen an Bord, diese Woche machen wir einen kleinen Törn über verschiedene Schwachstellen, Eine Tech-Umfrage unter Entwicklern, AppSec Cheat Sheet zum Session Management, Bug Bounty Hunter Archetypen und Social Media Kritik von Simon Sinek.

Leinen los, viel Spass beim lesen!

Artikel

Exploits, Hacks und Schwachstellen

⚡️CVE 2025-54309 CrushFTP 0-day Das CrushFTP Team hat ein Advisory veröffentlicht, das es einen ausgenutzten Zero Day gibt. Laut Advisory handelt es sich um eine fehlerhafte Handhabung der AS2-Validierung beschrieben. Angreifer haben die Möglichkeit, über HTTPS administrative Berechtigungen zu erlangen.

⚡️GravityForms Wordpress Plug-In in Supply Chain Angriff infiziert Das beliebte Wordpress Plugin GravityForms wurde mit Malware infiziert. Angreifenden konnten mit der kompromittierten Version neue Konten mit Administratorrolle anlegen, Dateien auf den Server hochladen oder Nutzerkonten löschen.

⚡️ Keycloak 6.3 Privilege Escalation CVE Frisch aus dem Feed kam gerade noch eine Keycloak-Schwachstelle auf. Kontrolliert eure Versionen und patcht gegebenenfalls.

Konzepte, Reports und Ideen

📊 The Pragmatic Engineer 2025 Survey Die Umfrage 2025 zeigt, dass KI-Tools bei Entwickler*innen sehr beliebt sind. GitHub Copilot führt dabei in großen - Cursor in kleineren Unternehmen.

Beliebte Editoren sind VS Code und JetBrains, während langsame Tools wie JIRA am meisten kritisiert werden.

✅ AppSec Cheat Sheet: Session Management Aaron James von Trusted Sec hat ein schönes Cheat Sheet mit im Gepäck, das sich mit dem Session Management beschäftigt - Bookmark anlegen, parat haben wenn man’s braucht. Das ganze ist nicht nur für Blue Teamer nützlich 😅 

🏴‍☠️ Offensive Security Tools 2025 Hackertarget hat - nachdem Sie eine solche Liste bereits 2016 veröffentlicht hatten - die meistgenutzten Tools im Offensive Space erfasst. Natürlich hat sich in beinahe 10 Jahren einiges geändert, aber es gibt auch Tools, die immer noch dabei sind.

Tech, Gesellschaft, Kultur

👨‍🏭 Simon Sinek on Millenials in the Workspace Ein fünfzehn Minütiges Plädoyer für weniger Social Media, weniger Smartphone und mehr echten Kontakt.

⌨️ How Homerow mods can improve typing Keyboard Nerd Thema der Woche: Homerow Mods - also das belegen von Super, Control, Command und/oder Alt in die Zeile, in der die Finger sowieso starten. Ausgelöst wird die jeweilige Funktion durch gedrückt halten der jeweiligen Taste. Ich nutze das jetzt auch seit einigen Monaten und bin sehr zufrieden. 👍️ 

📆 AKZ Dev built an eInk Calendar with a Raspberry Pi Supercooles Projekt - steht auf meiner Winter-Bastel-Liste relativ weit oben. Eine immer aktuelle Kalender-Übersicht z.b. in der Küche mit allen Terminen der Familie zu haben, klingt nach einem hochgradig sinnvollen Projekt!

👷 Open Source Security Work isn’t “Special” Seth Larson, Security Developer-in-Residence der Python Foundation, bricht eine Lanze dafür, Security Themen nicht nur vom Core-Team bearbeiten zu lassen. Open-Source-Sicherheitsarbeit darf nicht allein von Projektmaintainer*innen getragen werden, insbesondere nicht bei kleinen Projekten.

Vertrauenswürdige externe Mitwirkende stärken die Sicherheit und reduzieren Isolation. Vertrauen, Erfahrungsaustausch und bessere Werkzeuge machen die Open-Source-Sicherheit nachhaltiger - ein Plädoyer, dem ich mich anschliessen kann. Ärmel hoch und Open Source absichern!

Bug Bounty Tips, Security Tools und Techniken

🧠 Caido acquires Shift Caido hat das AI Plugin Shift eingekauft. Kurzfristig wird es kostenlos für alle Nutzbar, mittelfristig soll das Plugin so umgebaut werden, um lokale LLMs zu nutzen.

💻️ Bug Bounty feedback, strategy and alchemy In-Depth Artikel über verschiedene Hacker-Typen und Methodiken, und deren Erfolg im Bug Bounty Space.

Es lohnt sich, hier für sich selbst zu finden, welche Art von Hunter man sein möchte - und sich dann darauf zu fokussieren. Unbedingt reinlesen und seinen Hacker-Archetypen bestimmen. Welche Pokémon seid ihr? 😁 

🪙 Bug Bounty Automation Update g0lden nimmt uns 20 Minuten mit, und zeigt sein aktualisiertes Bug Bounty Automation Setup.

Das Zitat der Woche kommt von Simon Sinek, dem Author von Start With Why.

Die Beobachtung, dass es extrem unangenehm ist, an etwas zu arbeiten das einem egal ist, habe Ich auch schon öfter gemacht - die Verknüpfung des Gegensatzes zu “passion” gefällt mir aber sehr.

Was sind eure Passion-Projects? Wo fällt es euch leicht, viel zu arbeiten?

Cheers,

Martin

PS: Euch gefällt was ihr hier lest? Schaut auch mal bei meinen Empfehlungen vorbei und meldet euch an. ❤️