Penetrationstest
Ergebnis
Vorgehensweise
1. Vorbereitung
Zu Beginn definieren wir gemeinsam mit Ihnen Ziele, Umfang, Typ, Vorgehensweise sowie Prüfobjekte des Penetrationstests. Darüber hinaus informieren wir Sie über potenzielle Risiken und entsprechende Notfallmaßnahmen.
2. Informationsbeschaffung und Auswertung
Ziel dieser Phase ist es, eine möglichst vollständige und detaillierte Übersicht der installierten Systeme inklusive potenzieller Angriffspunkte zu erlangen. Die Module in dieser Phase umfassen u. a. die Auswertung öffentlich zugänglicher Daten wie DNS oder WHOIS, verschiedene Port- und Anwendungsscans, OS Fingerprinting, Sammlung von FTP- und Webserver-Dateistrukturen, Untersuchung von Cookies, Web Server Session Handling und Schwachstellenrecherche. Bei einem White-Box-Test kommen weitere Komponentenhinzu, wie z. B. die Untersuchung von Patch-Ständen und sicherheitsrelevanten Konfigurationsdateien der Betriebssysteme bzw. Anwendungen.
3. Bewertung der Informationen/Risikoanalyse
Die in Phase 2 gesammelten Informationen werden analysiert und ausgewertet. Dies dient als Grundlage für die Angriffsversuche in Phase 4.
4. Aktive Eindringversuche
Die ausgewählten Systeme werden, ausgehend von den Ergebnissen der vorherigen Phasen, aktiv angegriffen. Dabei kommen u. a. folgende Module zum Einsatz: PasswordCracking, Ausnutzung von Buffer Overflows, Cross-SiteScripting, SQL Injection, Übernahme von Web-Sessions und Social Engineering.
5. Abschlussanalyse
Die Ergebnisse aller Phasenfassen wir in einem Bericht zusammen, der auch eine Bewertung der gefundenen Schwachstellen in Formpotenzieller Risiken sowie Empfehlungen zur Behebung der Schwachstellen beinhaltet.