IT-Sicherheit - Wir helfen Ihnen weiter

 

 

Wie läuft ein Penetrationstest ab?

Hierbei orientieren wir uns an den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik. Unsere Roadmap basiert auf dem
5-Phasen-Konzept (BSI-Studie "Durchführungskonzept für Penetrationstest").

 

Vorbereitung, Informationsbeschaffung (BSI Phasen 1 & 2)

• Abschluss einer Verschwiegenheitserklärung zu den Testergebnissen
• Abschluss eines Vertrages für Penetrationstests, in dem klar geregelt ist, dass und in welchem Umfang Batix die Systeme des Kunden angreifen darf
• Briefing von Batix durch den Kunden, zur Vergrößerung des verfügbaren Informations-Pools
• Zugriff auf Front- und Backend, Analyse der Funktionalitäten
• Falls Code-Zugriff vorhanden: Manuelles Code-Scanning

 

• Bewertung der gesammelten Informationen zur Sicherung eines effizienten Vorgehens
• Aufstellung eines Testplans
• Mapping
• Port-Scanning, OS-Fingerprinting, inkl. Dokumentation
• Service Scanning und Fingerprinting, inkl. Dokumentation
• Manuelles und automatisiertes Spidering, Erweiterung des Informations-Pools
• Discovery
• Analyse der Anwendung aus Sicht eines Angreifers
• Cross Site Scripting (XSS), SQL injection
• Command injection, local / remote file inclusion
• Exploitation (Falls erwünscht)
• Versuch des Auslesens von Teilen der Datenbank
• Versuch einer Manipulation der Datenbank oder einzelner Dateien
• Versuch des Versandes von Daten an ein Remotesystem

• Erstellung eines Berichtes zum Testverlauf
• Dokumentation der Testergebnisse
• Unterstützung und Beratung bei Rückfragen
• Unterstützung bei Planung des weiteren Vorgehens