Penetration Tests

Penetration Tests

Penetration Tests

Penetration Tests auf Netzwerk- und Systemebene

Penetration Tests werden je nach Ziel der Tests auf Netzwerk- und Systemebene oder auf Applikationsebene durchgeführt. Auf Netzwerk- und Systemebene stehen die IT-Systeme, wie z.B. Betriebssysteme, Middleware, Datenbanken, im Fokus der Tests. Bei den Tests auf Applikationsebene sind Webanwendungen, Webshops, Portal o. ä. die Zielobjekte.

 

 

Abbildung 1: Exemplarische Abgrenzung der Angriffsziele (Netzwerk-/Systemebene bzw. Applikationsebene)

Mittels Penetrationstests auf Netzwerk- und Systemebene untersucht die Accuris AG die vom Auftraggeber benannten Zielsysteme aus dem Internet oder lokalen Netz hinsichtlich möglicher technischer Schwachstellen. Voraussetzung für die Durchführung der Tests ist, dass die Systeme auf IP-Ebene erreichbar sind.

Exemplarisch für solche Tests sind:
  • die Ermittlung und der Versuch der Ausnutzung von Implementierungsschwächen des im Zielsystem eingesetzten Betriebssystems,
  • die Ermittlung und der Versuch der Ausnutzung fehlerhafter Konfigurationen des Zielsystems (z.B. Zugriff auf beliebige Dateien auf einem IIS-Server),
  • die Untersuchung auf unerwünscht zulässige Dienste (z.B. durch fehlerhafte Konfiguration oder unzureichende Filterregeln) und
  • der Versuch, eingesetzte Dienste (nach Absprache mit dem Kunden) durch Denial-of-Service-Attacken außer Kraft zu setzen.

Ein Ziel eines Penetration Tests ist es, Schwachstellen in IT-Systemen oder Software (z.B. durch fehlende Patches) oder deren Konfiguration zu identifizieren, die von einem Hacker potenziell ausgenutzt werden können, um Zugriff auf die Systeme zu erhalten, sensible Informationen zu kompromittieren oder die Verfügbarkeit von Systemen oder Anwendungen einzuschränken.

Penetration Test auf Applikationsebene 

Ziel applikationsspezifischer Penetration Tests ist es, Schwachstellen bei der Implementierung auf Applikationsebene zu identifizieren. Insbesondere soll geklärt werden, ob und welche Angriffe von einem entfernten Rechner erfolgreich sein könnten.

Die applikationsspezifischen Tests dienen zur Konstruktion von Angriffen, die über rein netzwerkspezifische Tests nicht abgedeckt werden. Dazu werden individuelle Testfälle ausgewählt, entwickelt und durchgeführt. 

Exemplarisch für applikationsspezifische Tests sind:

  • Doppeleinreichung derselben Dialoginitialisierung,
  • Einreichung syntaktisch korrekter, aber überlanger Nachrichten,
  • Dialogübernahme durch einen anderen Kunden,
  • Wiederaufnahme eines bereits beendeten Dialogs und
  • einzelne gezielte Veränderungen des Nachrichtenaufbaus.
  • Absicht dieser Angriffe ist der Gewinn von Aussagen über Möglichkeiten 
  • zum unerlaubten Zugriff auf bzw. die unerlaubte Veränderung von Informationen, 
  • die Beeinträchtigung der Stabilität der Systeme sowie die missbräuchliche Nutzung zulässiger Dienste.
Unser Service für Sie

Ausführung der Penetrationstests auf Netzwerk- und Systemebene und auf Applikationsebene durch einen langjährig erfahrenen, zertifizierten PEN-Test-Spezialisten. 

Der PEN-Test Spezialist ist im Besitz der folgenden Zertifizierungen:

  • CEH – Certified Ethical Hacker by International Council of E-Commerce Consultants (EC Council)
  • CISSP – Certified Information Systems Security Professional by (ISC)2
  • GCIA – GIAC Certified Intrusion Analyst
  • GCFA – GIAC Certified Forensic Analyst
  • SFCP – Sourcefire Certified Professional
  • CISA – Certified Information System Auditor

Kontakt

Gerne stehen wir Ihnen bei Fragen auch persönlich zur Verfügung. Treten Sie ganz unverbindlich mit uns in Kontakt.

Dr. Christian Scharff
Vorstand der accuris AG

Nachricht

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookie verwenden. Zur Cookies Erklärung

Akzeptieren