Nico Bleh

Über mich Leistungen Portfolio

// Case Studies

Portfolio

Nachfolgend finden Sie eine Auswahl meiner Sicherheitsprojekte. Details zu den genauen Kunden und Findings bleiben selbstverständlich vertraulich.

Pentest OWASP Top 10 FinTech

Black-Box-Pentest einer Zahlungsplattform im FinTech-Umfeld. Schwerpunkt auf Authentifizierung, Autorisierung und Geschäftslogik-Schwachstellen.

Ergebnisse

▸Mehrere kritische Schwachstellen identifiziert, darunter SQL Injection mit Zugriff auf sensible Kundendaten
▸IDOR-Schwachstelle ermöglichte Zugriff auf fremde Transaktionsdaten
▸Priorisierter Abschlussbericht mit konkreten Handlungsempfehlungen übergeben

Tools & Methoden: Burp Suite Professional, OWASP Testing Guide, manuelle Code-Review, CVSS-Scoring. Assessment-Dauer: 2 Wochen.

Red Team APT Simulation Enterprise

Simulierter Angriff auf ein mittelständisches Unternehmen über 4 Wochen, von der initialen Kompromittierung bis zur vollständigen Angriffskette.

Ergebnisse

▸Initial Access via gezielter Spear-Phishing-Kampagne erreicht
▸Lateral Movement durch unsichere Netzwerkkonfigurationen und schwache Passwortrichtlinien
▸Vollständige Angriffskette bis Domain Compromise demonstriert

Tools & Methoden: C2-Framework, BloodHound, manuelle Exploits, Custom Phishing Infrastructure. Assessment-Dauer: 4 Wochen.

Cloud Security AWS IAM Audit

Sicherheits-Audit einer AWS-Cloud-Umgebung mit Fokus auf IAM, Netzwerksegmentierung und Datenzugriffskontrolle.

Ergebnisse

▸Kritische IAM-Fehlkonfigurationen mit Eskalationspotenzial identifiziert
▸Öffentlich erreichbare Storage-Buckets mit sensiblen Daten aufgedeckt
▸Privilege-Escalation-Pfade in der Cloud-Infrastruktur dokumentiert und bewertet

Tools & Methoden: Prowler, ScoutSuite, Pacu, manuelle AWS Console Review. Assessment-Dauer: 2 Wochen.

Ein Test jetzt ist günstiger als ein Incident später.