Senior Penetrationstester & Sicherheitsingenieur

ShopSecure – Schwachstellenbewertung und Penetrationstests für eine europäische E-Commerce-Plattform mit Millionen von Nutzern.

Teilnahme in einem 6-köpfigen Red Team zur Konzeption und Umsetzung eines umfassenden Anwendungssicherheitsprogramms gemäß ISO 27001- und ISO 27034-Standards.

Beste Sicherheitspraktiken im gesamten SDLC integriert, einschließlich Bedrohungsmodellierung, sicherer Codeüberprüfung, Penetrationstests und kontinuierlicher Überwachung.

Mehrere Domänen innerhalb der IT-Infrastruktur des Kunden abgegrenzt und kritische Schwachstellen in Web-, Mobile-, API- und Cloud-Bereichen identifiziert.

Umfassende Sicherheitsberichte bereitgestellt, die Schweregrad, geschäftliche Auswirkungen und priorisierte Handlungsempfehlungen detailliert darstellen.

Mit Entwicklungsteams zusammengearbeitet, um Korrekturen umzusetzen, was zu einer 60%igen Reduzierung der extern gemeldeten Probleme im Jahresvergleich führte.

InfraLock – Red-Team-Aktivität und Sicherheitsbewertung für einen Online-Immobilienmarktplatz in Pakistan mit über 5 Mio. Nutzern.

Interne Netzwerk-Penetrationstests und Bewertung lateraler Bewegungen als Teil eines 5-köpfigen Red Teams durchgeführt.

Initialen Zugriff über exponierte Dienste erlangt, Antivirus umgangen, Rechte eskaliert und den Domänencontroller mit Mimikatz kompromittiert.

Handlungsempfehlungen zur Behebung gegeben und Patch-Management unterstützt, um interne Abwehrmaßnahmen zu stärken und das Risiko zu reduzieren.

Genutzte Technologien: Python- & Bash-Scripting, Metasploit Framework, Nmap, Burp Suite Professional, Wireshark, SQLMap, John the Ripper, Hydra, Aircrack-ng, Nessus, Nexpose, Acunetix, Shodan, Censys, OWASP Amass, Dirsearch, Httprobe, Postman, Cobalt Strike.

Schwachstellenbewertungen und Penetrationstests für Plattformen wie Synack, Bugcrowd, HackerOne, Intigriti und YesWeHack durchgeführt.

Android-, iOS- und Webanwendungen analysiert, um kritische Schwachstellen wie hardcodierte geheime Schlüssel, Zero-Click-Account-Übernahmen und logische Fehler aufzudecken.

Infrastruktur, Web-Apps, APIs und Cloud-Dienste überprüft und mehr als 100 Schwachstellen mit hoher Kritikalität behoben.

Detaillierte Sicherheitsberichte und Behebungsstrategien an Kunden geliefert, wodurch die Sicherheitsvorfälle innerhalb von sechs Monaten um 35% zurückgingen.

Hochkritische Schwachstellen entdeckt und an renommierte Sicherheitsteams gemeldet, zur Abwehr bedeutender Bedrohungen beigetragen und Millionen von Nutzern weltweit geschützt.

Genutzte Technologien: Python, Metasploit, Nessus, Burp Suite, MobSF, AWS, Wireshark, Objection, Frida, APKTool, Ghidra, Azure Security Center, Amazon Inspector, Postman.