Penetration-Testing-Standards
Üblicherweise unterscheidet sich die Qualität eines Produkts von Dienstleister zu Dienstleister. Dies gilt natürlich auch für Pentests. Wir hatten bereits erwähnt, dass bei einem solchen Test mindestens alle einfach zu entdeckenden Schwachstellen (low-hanging fruits) identifiziert werden sollten. Das Fundament hierfür bildet die Prüfung gemäß einer standardisierten Vorgehensweise. Nur über eine konkrete Vorgehensweise können wir reproduzierbare Ergebnisse erzielen und sicherstellen, dass keine offensichtlichen Schwachstellen unentdeckt bleiben. Im Allgemeinen existieren hierfür keine Vorgaben, sondern nur Richtlinien. Ein professionell durchgeführter Pentest orientiert sich daher an Penetration-Testing-Standards.
Wer von uns schon einmal in den Genuss eines Standards gekommen ist, der sollte einmal versuchen, sich an die Inhalte zurückzuerinnern. Wie du dir sicherlich schon vorstellen kannst, eignet sich dieser „Lesestoff“ hervorragend als Bettlektüre. Unsere Aufgabe ist es jedoch, aus all den Penetration-Testing-Standards eine eigene Vorgehensweise zu erstellen. Je ernster wir diese Aufgabe nehmen, desto aussagekräftiger werden die Resultate unseres Pentests. Auch interessieren sich potenzielle Auftraggeber für unsere Methodik, die wir in Kenntnis der Standards überzeugend darlegen und vertreten können. Die technische Umsetzung bzw. die Befehle bleiben jedoch unser „Betriebsgeheimnis“, welches uns von anderen Pentestern unterscheidet.
In jedem von uns steckt bereits ein kleiner Hacker: Um gezielt ein Unternehmen wie Dubius Payment Ltd. angreifen zu können, müssen wir im ersten Schritt unsere Ziele benennen. In unserem Fall also deren Netzbereiche. Des Weiteren werden wir Informationen zu den darin befindlichen Servern und den erreichbaren Diensten benötigen, um nach Schwachstellen zu suchen und diese auszunutzen. Damit ist uns das generelle Vorgehen schon bekannt. Doch welche Technologien müssen wir im Detail überprüfen?
Hierzu beschreibt das BSI in seinem Dokument „Durchführungskonzept für Penetrationstest“ im Kapitel 6.5 Module für Informationsbeschaffung und aktive Eindringversuche. Diese werden ebenso im OSSTMM referenziert. Das OSSTMM (Open Source Security Testing Methodology Manual) ist ein öffentlich verfügbares Handbuch zur Durchführung von Sicherheitstests. Vorreiter in Sachen Sicherheit von Webanwendungen ist dagegen die Non-Profit-Organistation Open Web Application Security Project (OWASP). In ihrem OWASP Testing Guide wird auf die Schwachstellen eingegangen, die in einer Webanwendung untersucht werden sollten. Ferner listet sie in ihrem Projekt OWASP TOP 10 die zehn häufigsten Schwachstellen in Webanwendungen auf.
Grundsätzlich ist die Wahl einer Vorgehensweise natürlich abhängig vom ausgewählten IT-System. Beispielsweise können wir die Vorgehensweise zur Untersuchung von IT-Infrastrukturen nicht auf mobile Anwendungen übertragen, da hierbei andere Schwachstellen beachtet werden müssen.
Erstelle mithilfe der Penetration-Testing-Standards eine eigene Vorgehensweise, um die Netzwerke von Dubius Payment Ltd. erfolgreich zu übernehmen. Deine Vorgehensweise kann bei der späteren Durchführung des Pentests als Checkliste fungieren, wenn sie strukturiert dokumentiert wird. Kennst du ein geeignetes Tool – neben cherrytree, Obsidian oder MarkText– zum Anfertigen von Notizen?
1. Informationssammlung
(a) Benutzernamen des Unternehmens sammeln
-> LinkedIn, Facebook
(b) Netzbereiche identifizieren
-> [Befehl]
2.Diensterkennung
(a) [..]
Weiterführende Materialien
Unterartikel
Pentest Training
Werfen Sie einen Blick auf die Kapitel vom Pentest Training und lernen Sie Pentesting:
- Vorwort
- Einführung
- Rechtliche Rahmenbedingungen
- Hacking vs. Penetration-Testing
- Klassifizierung
- Aussagekraft von Penetrationstest
- Penetration-Testing-Standards
- Der Hacking-Leitfaden
- Hacking I: Scannen von Netzwerken
- Hacking II: Passwortangriffe
- Hacking III: Webanwendungsangriffe
- Hacking IV: Privilegienausweitung
- Hacking V: Tunnel-Techniken
- Hacking VI: Vulnerability-Scanner und Penetration-Testing-Frameworks
- Vorführung eines Pentests
- Risikobewertung von identifizierten Schwachstellen
- Aufbau Dokumentation und Berichterstellung
- Plauderei aus dem Nähkästchen: Insights von Dubius Payment Ltd.
binsec academy GmbH - Online IT Security Training with Practical Focus
Die binsec academy GmbH ist ein Anbieter von praxisorientierten Online-Trainings im Bereich IT-Sicherheit. Das Schulungsangebot umfasst unter anderem Penetration Testing und sichere Softwareentwicklung. Die Teilnehmer lernen in realitätsnahen Laborumgebungen, die typische IT-Infrastrukturen und Anwendungen simulieren. Die Kurse beinhalten anerkannte Standards wie den OWASP Top 10 und PCI DSS und sind in mehreren Programmiersprachen verfügbar. Nach erfolgreichem Abschluss erhalten die Teilnehmenden Zertifikate wie den Binsec Academy Certified Pentest Professional (BACPP) oder den Binsec Academy Certified Secure Coding Professional (BACSCP), die ihre praktischen Fähigkeiten zur Erkennung und Behebung von Sicherheitslücken belegen.
Gehe zu binsec acadmy GmbH
binsec GmbH – Experten für Penetrationstests
Die binsec GmbH ist ein deutsches IT-Sicherheitsunternehmen mit Schwerpunkt auf professionellen Penetrationstests. Mit über 10 Jahren Erfahrung führt das Team tiefgehende Sicherheitsprüfungen von Netzwerken, Webanwendungen, APIs und mobilen Apps durch. Zertifizierte Experten identifizieren und dokumentieren systematisch Sicherheitslücken, um Unternehmen dabei zu unterstützen, ihre IT-Sicherheit zu verbessern und Compliance-Anforderungen zu erfüllen.
Gehe zu binsec GmbH