Pentests

Pentesting - allgemein

  • Manuelles Auffinden von Lücken

  • Relativ teuer da ausgeprägtes Expertenwissen nötig

  • Ermöglicht Finden von Lücken die automatisiert nicht gefunden werden können (Beispiel: Gibt es Möglichkeiten, dass ein normaler Benutzer in einer Webanwendung Adminfelder sehen kann die nicht für ihn bestimmt sind?)

  • BSI Praxis-Leitfaden zu Pentests

Pentesting - Unterteilung

  1. Externes Netzwerk-Pentesting
  • Untersucht öffentlich erreichbare Webseiten, VPN-Server, Mail-Server auf Schwachstellen
  1. Internes Netzwerk-Pentesting
  • Überprüft wie das interne Netzwerk angegriffen werden kann (simuliert beispielsweise böses Verhalten eines Mitarbeiters)
  1. Social Engineering Tests
  • Wie anfällig sind die eigenen Mitarbeiter, Informationen per E-Mail oder Telefon preiszugeben? (Phising, Smishing, CEO Spoofing etc.)
  1. Physisches Penetration-Testing
  • Versuch, in das Gebäude einzudringen in Form von Paketboden, Klempner etc.; Anschließen von böswilligen USB-Sticks die Verbindung zu Command&Control-Server aufbauen und anschließend Überprüfung ob IT-Team diese unerlaubten Verbindungen im Netzwerk-Verkehr korrekt entdeckt
  1. Wireless Penetration-Testing
  • Überprüfung ob W-LAN Zugänge dem Stand der Technik entsprechen (insbesondere in Bezug auf Verschlüsselung)
  1. Application Penetration-Testing
  • Überprüfung selbstgeschriebener Software, Apps etc. auf Schwachstellen (anhand OWASP oder MSTG Testing Guide)

BugBounty-Programme

  • Ausschreiben eines Programms um Security-Fachleuten zu erlauben, die eigene Webseite auf Schwachstellen zu untersuchen

  • Meist finanzielle Belohnung, es gibt aber auch Programme ohne Bezahlung

  • Beispiele: OpenBugBounty, Intigriti, Yeswehack