29.07.2020
YesWeHack
Pwning-Machine für die Bug-Bounty-Jagd
Autor: Bernhard Lauer
Adil Graphics / shutterstock.com
Die europäische Bug-Bounty-Plattform YesWeHack, startet mit "Pwning Machine" eine Docker-basierte Umgebung, die ethischen Hackern eine selbst gehostete Bug-Bounty-Lösung bietet.
Mit dem Aufkommen von Technologien wie Containern und Mikrodiensten in der Softwareentwicklung ist das Erkennen von Sicherheitslücken komplexer geworden. Daher verwenden ethische Hacker häufig Dienste von Drittanbietern wie XSSHunter oder BurpCollaborator, um IT-Schwachstellen zu identifizieren. Die Pwning-Machine vereinfacht und beschleunigt diesen Prozess. Die selbst gehostete Lösung liefert eine feste Palette an Diensten, die vom Benutzer nach Bedarf erweitert werden können.
Die Pwning-Machine enthält folgende Dienste:
- DNS: Eine PowerDNS mit einfachem API ermöglicht die Verwaltung von Regeln über eine Befehlszeilenschnittstelle.
- Web-Server: Ein Nginx-Server wird zusammen mit der Zuweisung des Hostnamens gestartet.
- HTTP-Router: Traefik, ein Open-Source-Reverse Proxy und Load Balancer, verarbeitet SSL-Zertifikate und leitet den eingehenden HTTP(s)-Verkehr an den entsprechenden Container weiter.
- Pipeline-Runner (aktuell in Entwicklung): Damit kann die Planung eines Vorgangs mit vordefinierten Task-Sequenzen direkt auf dem Server ausgeführt werden. Auf diese Weise werden komplexe Sequenzen mit kleinen Bausteinen erstellt, wodurch die mühsame Ausgabe großer und sich wiederholender Befehlssequenzen reduziert wird. Man kann ihn sich als die CI-Pipeline von gitlab vorstellen.
"Die Pwning-Machine bietet das gesamte Rückgrat für eine selbst gehostete Bug-Bounty-Umgebung. Hacker können individuell Dienste hinzufügen, die sie für die Schwachstellenjagd bevorzugen", sagt Philippe Lucas, der Technologie-Botschafter von YesWeHack. Lucas, der selbst unter dem Pseudonym BitK als ethischer Hacker in der YesWeHack-Community aktiv ist, entwickelte die Pwning-Machine und stellte sie erstmals vergangenen Juni auf der NahamCon2020 vor.
YesWeHack will die Pwning-Machine kontinuierlich um neue Services erweitern. Geplant ist zum Beispiel eine Funktion, die es ermöglichen soll, alle wiederkehrenden Teile des Bug-Bounty-Prozesses zu automatisieren. Mit einer weiteren Funktion können Dienste, die von anderen Hackern erstellt wurden, direkt von GitHub hinzugefügt werden.
Die Anweisungen zur Installation der YesWeHack Pwning-Machine sind auf GitHub verfügbar unter github.com/yeswehack/pwn-machine.
Sicherheits-Tipps
Mail-Account gehackt? Was kann ich tun?
E-Mail-Konten sind tagtäglich eine Zielscheibe von Hackerangriffen. Erst einmal geknackt, kann ein Krimineller mit Ihrem E-Mail-Konto viel Schaden anrichten. Wir verraten Ihnen, was Sie in diesem Fall unternehmen können.
>>
FTTH
Easybell vermarktet jetzt auch Glasfaseranschlüsse
Die Berliner Easybell vermarktet jetzt auch Glasfaseranschlüsse für Privat- und Geschäftskunden. Die FTTH-Anschlüsse kommen dabei von der Telekom.
>>
VS Code Windows und Mac
Brauchbare Alternative
Das C# Dev Kit for Visual Studio Code könnte eine Alternative für Entwickler sein, die weiterhin macOS nutzen möchten. Unser Schwesterportal dotnetpro hat es auf den Prüfstand gestellt.
>>
Google I/O 2024
Google Gemini ermöglicht mehr Funktionen und Individualität
Der große Star bei der diesjährigen Google-Entwicklerkonferenz I/O war Gemini. Die KI-Technologie hält Einzug in diverse Anwendungen und bietet neue Möglichkeiten bei der Entwicklung und Nutzung bekannter und neuer Google-Apps.
>>