Anzeige

Bug

YesWeHack startet mit „Pwning Machine“ eine Docker-basierte Umgebung, die ethischen Hackern eine selbst gehostete Bug-Bounty-Lösung bietet. Sie ist mit einer anpassbaren und erweiterbaren Palette von Diensten ausgestattet, darunter ein DNS-Server, ein HTTP-Router und ein Webserver. 

Die Pwning-Machine ist auf GitHub kostenlos verfügbar und kann individuell erweitert werden. Die Einrichtung ist in weniger als zehn Minuten möglich und erfordert nur einen Server und einen Domain-Name. YesWeHack will die Lösung fortwährend erweitern. Auch die Hacker-Community ist dazu eingeladen, neue Funktionen hinzuzufügen.

 

Komplexe Systeme verlangen nach neuen Ansätzen bei der Schwachstellenjagd

Die sich verändernde Welt der Anwendungsentwicklung beeinflusst die Art und Weise, wie kriminelle Hacker nach Schwachstellen suchen und diese ausnutzen. Mit dem Aufkommen von Technologien wie Containern und Mikrodiensten in der Softwareentwicklung ist das Erkennen von Sicherheitslücken komplexer geworden. Daher verwenden ethische Hacker häufig Dienste von Drittanbietern wie XSSHunter oder BurpCollaborator, um IT-Schwachstellen zu identifizieren.

Die Pwning-Machine vereinfacht und beschleunigt diesen Prozess. Die selbst gehostete Lösung liefert eine feste Palette an Diensten, die vom Benutzer nach Bedarf erweitert werden können.

  • DNS: Eine PowerDNS mit einer einfachen API ermöglicht die Verwaltung von Regeln über eine Befehlszeilenschnittstelle.
  • Web-Server: Ein Nginx-Server wird zusammen mit der Zuweisung des Hostnamens gestartet.
  • HTTP-Router: Traefik, ein Open-Source-Reverse Proxy und Load Balancer, verarbeitet SSL-Zertifikate und leitet den eingehenden HTTP(s)-Verkehr an den entsprechenden Container weiter.
  • Pipeline-Runner (aktuell in Entwicklung): Damit kann die Planung eines Vorgangs mit vordefinierten Task-Sequenzen direkt auf dem Server ausgeführt werden. Auf diese Weise werden komplexe und leistungsstarke Sequenzen mit kleinen Bausteinen erstellt, wodurch die mühsame Ausgabe großer und sich wiederholender Befehlssequenzen reduziert wird. Man kann ihn sich als die CI-Pipeline von gitlab vorstellen.

„Die Pwning-Machine bietet das gesamte Rückgrat für eine selbst gehostete Bug-Bounty-Umgebung. Hacker können individuell Dienste hinzufügen, die sie für die Schwachstellenjagd bevorzugen‟, sagt Philippe Lucas, der Technologie-Botschafter von YesWeHack. Lucas, der selbst unter dem Pseudonym BitK als ethischer Hacker in der YesWeHack-Community aktiv ist, entwickelte die Pwning-Machine und stellte sie erstmals vergangenen Juni auf der NahamCon2020 vor.

 

Die Pwning-Maschine enthält standardmäßig einen DNS-Server, einen HTTP-Router sowie einen Web-Server (Bild: YesWeHack)

 

Ständige Funktionserweiterung mit Hilfe der Hacker-Community

Das Unternehmen will die Lösung kontinuierlich um neue Services erweitern. Geplant ist zum Beispiel eine Funktion, die es ermöglichen soll, alle wiederkehrenden Teile des Bug-Bounty-Prozesses zu automatisieren. Mit einer weiteren Funktion können Dienste, die von anderen Hackern erstellt wurden, direkt von GitHub hinzugefügt werden.

YesWeHack lädt zudem seine Hacker-Gemeinschaft dazu ein, zur laufenden Verbesserung und Erweiterung der selbst gehosteten Lösung beizutragen. Entwickler Philipp Lucas hat bereits angekündigt, alle Dienste, die er selbst nutzt, auf seiner eigenen Pwning-Machine-Toolbox zu veröffentlichen, um anderen Hackern ein besseres Verständnis für die Fähigkeiten der Pwning-Machine zu vermitteln.

Die Anweisungen zur Installation sind auf GitHub verfügbar.

 

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Hackerangriff

73% der weltweiten Passwörter können sofort geknackt werden

Laut der vom Passwortmanager NordPass zur Verfügung gestellten Daten können 73% der beliebtesten verwendeten Passwörter in weniger als einer Sekunde geknackt werden.
Windows 7

5,2 Mio. Computer in Deutschland nutzen alte Windows-Versionen

Windows-Betriebssysteme haben in Deutschland bei Desktop-PCs und Notebooks einen Marktanteil von rund 80 Prozent. Die gute Nachricht: Ein Großteil der eingesetzten Geräte nutzt das aktuelle Windows 10. Doch ein genauer Blick auf die Zahlen zeigt eine sehr…
Ransomware

Der Aufstieg der Ryuk Ransomware

Die Ryuk Ransomware hat unter Cyberkriminellen massiv an Popularität gewonnen. Die Zahl der entdeckten Angriffe stieg von nur 5.123 im 3. Quartal 2019 auf über 67 Millionen im 3. Quartal 2020, so das Ergebnis einer Sicherheitsstudie von SonicWall.
Hackerangriff

Vorsorgepläne als Ziel von Hackern

Da Vorsorgepläne sensible persönliche und finanzielle Daten enthalten, werden Cyberangriffe auf Altersvorsorge-, Renten- und Langzeitvorsorgepläne immer häufiger. Diese Daten zu schützen bedeutet, die Bedrohung zu verstehen und Richtlinien zum Schutz von…
Hacker Corona

Covid-19 Impfstoff als Thema unterschiedlicher Cyberattacken

Proofpoint, Inc., ein Next-Generation Cybersecurity- und Compliance-Unternehmen, warnt aktuell vor einer Vielzahl verschiedener Cyberattacken, die sich die Unsicherheit vieler Menschen rund um das Thema Covid-19-Impfstoff zunutze machen.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!