Was wir finden, legen wir offen.
Nachvollziehbar dokumentiert, mit klarem Coordinated-Disclosure-Prozess und ohne Cliffhanger. Wir schreiben, damit man mit den Erkenntnissen arbeiten kann – nicht, damit wir zitiert werden.
Social Engineering in der Praxis: Wie ein einziger Besuch ein ganzes Unternehmen übernahm
Anonymisierte Case Study: Präparierter USB-Stick, Phishing-Mail, Vishing-Anruf und physischer Zutritt – eine reale Red-Team-Angriffskette, ihre psychologischen Hebel und die Gegenmaßnahmen, die sie gestoppt hätten.
File Uploads richtig absichern und testen: Ein Kriterienkatalog aus der Praxis
18 Prüfkriterien für sichere Datei-Uploads – von Zugriffskontrolle über MIME- und Signaturprüfung bis Speichertrennung und Malware-Abwehr, mit konkreten Testansätzen für jeden Punkt.
Blind Cross-Site-Scripting in der Praxis: Polyglot-Payloads gegen administrative Sessions
Anonymisiertes Write-up: Wie eine Blind-XSS-Lücke in einer webbasierten Verwaltungsanwendung mit einer Polyglot-Payload nachgewiesen wird – von der clientseitigen Längenbegrenzung über den Proxy-Bypass bis zum Cookie-Exfil.
Finden
Wir stoßen bei Research, Pentests oder Bug-Bounty-Programmen auf Schwachstellen. Jede Fundstelle wird zunächst intern verifiziert und mit einem Impact eingeordnet.
Melden
Wir kontaktieren den Hersteller direkt und vertraulich – über offizielle Security-Kanäle (security.txt, PSIRT) oder etablierte Bug-Bounty-Plattformen. Standard- Frist: 90 Tage nach dem Vorbild von Project Zero.
Veröffentlichen
Nach Patch, Ablauf der Frist oder öffentlichem Bekanntwerden veröffentlichen wir das Advisory hier – mit Proof-of-Concept, aber ohne Schaden anzurichten. CVE-Nummern fordern wir bei MITRE oder direkt beim Hersteller an.
RSS.
Der klassische Weg: rss.xml in Ihren Feed-Reader. Sofort benachrichtigt bei jedem neuen Beitrag – ohne Tracking, ohne Konto.
GitHub.
Tools, Skripte und Advisory-Repositories liegen offen unter github.com/pixploit. Star oder Watch, wenn Sie neue Releases sehen wollen.
Meldung.
Sie haben selbst eine Schwachstelle gefunden oder wollen mit uns zusammenarbeiten? research@pixploit.com – PGP-Key auf Anfrage.
Sie haben etwas gefunden?
Ob Schwachstelle in einem unserer Tools, Fehler in einem Advisory oder Vorschlag für gemeinsame Research: Kurze Mail reicht. Wir antworten in der Regel innerhalb weniger Werktage.