Penetrationstest Teil 1
Penetrationstests gehören zu den beliebtesten Dienstleistungen im Bereich IT-Security. Auch bei uns sind sie das am meisten nachgefragte Produkt. Eine solche Form der IT-Sicherheitsüberprüfung ist für den ein oder anderen Kunden das erste Mal, dass er sich diesem Thema widmet. Daher hören viele Kunden sehr interessiert zu, wenn wir Details erzählen. Als Folge dachten wir uns, dass es eine gute Idee wäre, die wichtigsten Schritte eines Penetrationstests einmal in Blogeinträgen zusammen zu fassen. In einer neuen Reihe möchten wir also einen Einblick in das geben, was bei einem Penetrationstest passiert. Solche Tests lassen sich übrigens auf alles Mögliche anwenden wie auf Webseiten, auf Programme oder sogar auf Hardware. In unserem Beispiel konzentrieren wir uns auf das Überprüfen von Webseiten.
Die Phasen eines Pentests
Ein Penetrationstest dient dazu, Schwachstellen ausfindig zu machen. Das Besondere bei dieser Art von Überprüfung ist, dass ein Tester die Rolle eines Angreifers einnimmt. Er geht also genau so vor, wie ein Angreifer üblicherweise vorgehen würde.
Bei einem Pentest, wie ein Penetrationstest auch genannt wird, unterscheiden wir in der Regel vier grobe Phasen:
- Vorbereitung
- Informationsbeschaffung
- Analyse
- Dokumentation
Bei einem richtigen Angriff unterscheidet man leicht andere Phasen (Informationsbeschaffung, Exploitation, Post-Exploitation). Das liegt unter anderem daran, dass ein Angreifer in der Regel nicht aufhört, wenn er in ein Netzwerk eindringen konnte und er häufig auch nicht an einer verständlichen Dokumentation für Kunden interessiert ist. Da jede Phase für sich sehr spannend ist, möchten wir jeder dieser Phasen einen eigenen Blogartikel widmen. Dieser Eintrag beschäftigt sich im Wesentlichen mit den ersten beiden Punkten.
Die Vorbereitung eines Penetrationstests
Bevor wir einen Angriff auf eine Anwendung wirklich simulieren können, ist es notwendig, dass wir uns mit dem interessierten Kunden auf wichtige Details verständigen. Ein richtiger Angreifer würde das natürlich nicht tun und direkt mit der Informationsbeschaffung loslegen. Da wir aber helfen wollen, ist es wichtig, dass wir uns mit unseren Kunden genau abstimmen. Folgende Punkte sind hier besonders spannend:
- Ziel des Penetrationstests: Je nachdem wie umfangreich beispielsweise eine Anwendung ist, bietet es sich an, die Überprüfung auf bestimmte Komponenten zu fokussieren.
- Art des Pentests: Werden einem Penetrationstester Informationen … more