Bei unserem zweiten Tekkie-Abend hatten wir uns ein besonders spannendes Thema vorgenommen: nachdem wir immer wieder mit Security-Themen konfrontiert sind und dabei normalerweise auf der Seite der “Guten” stehen, wollten wir uns einmal in die Perspektive eines Hackers versetzen und schauen, “was denn so geht”…
Wir haben uns dafür einen externen Hacking-Spezialisten eingeladen (nennen wir ihn „Thomas“), der uns im Gegenzug für Pizza und Freibier einen Einblick in ein renommiertes Hacking-Lab gegeben hat, wo wir realitätsnah und völlig legal (falls die Staatsanwaltschaft mitlesen sollte) verschiedene Challenges lösen durften.
Es ging in der 2-stündigen Session unter anderem darum, fremde Kreditkartendaten zu stehlen, sich unter fremdem Namen einzuloggen und intelligente Phishing-Attacken zu kreieren. Technisch stecken dahinter Angriffsmethoden wie SQL Injection, Session Hijacking, Cross Site Scripting und unvalidierte Redirects – allesamt Methoden, die zu den Top-10 der OWASP-Liste gehören.
Es war spannend, zu sehen, dass diese Angriffsmuster nicht nur akademische Gedankenspiele sind, sondern in der Praxis funktionieren können, wenn bei der Konzeption von Schutzmaßnahmen oder bei der programmatische Umsetzung Fehler gemacht werden. Für Pagemachine war dieser Abend ein wichtiger Beitrag, um uns als eine führende Agentur für TYPO3 Security zu positionieren. Danke Thomas!