Es war mal wieder ein Dienstag… Ich stand unweit des Einganges zum Gebäude eines namenhaften deutschen Finanzinstituts und wartete geduldig. Eine Gruppe von Anzugträgern betrat hastig das Gebäude. Ich lief hinterher, habe kurz meine Hand gehoben, die noch den heißen Kaffee hielt, um zu signalisieren, dass ich ebenfalls gerne das Gebäude betreten würde, in der anderen Hand der Aktenkoffer. Höflich […]
weiterlesen …
Warum das Ausnutzen / Exploiten von Schwachstellen bei einem Penetrationstest nur manchmal sinnvoll sein kann #pentestwissen
„Wenn man eine Schwachstelle findet, dann soll man diese ausnutzen, um den Beweis anzutreten, was mit der Schwachstelle alles möglich sein kann“ So oder so ähnlich formulieren es manche Pentester:innen. Dieser Artikel soll beleuchten, warum nicht jede bei einem Penetrationstest gefundene technische Schwachstelle (vollständig/in Tiefe) ausgenutzt werden sollte und verdeutlichen, wie wir beim Auffinden von Schwachstellen vorgehen. Ein Pentest hat […]
weiterlesen …
Wann macht Aufklärung/Reconnaissance in einem Penetrationstest Sinn? #pentestwissen
Liest man Literatur, ist der erste Schritt eines Pentests die Aufklärung/Reconnaissance. Dabei suchen die Pentester:innen so viel Informationen wie möglich über eine Zielumgebung. Das können z. B. Domänennamen, IP-Adressen, verwendete Anwendungen sein. Am Ende hat man eine Liste potentieller Angriffsziele mit verschiedenen möglichen Methoden. Doch ist diese Liste für Sie hilfreich? Gibt es für Sie als Kunden einen Mehrwert oder […]
weiterlesen …
Warum der Preis kein alleiniges Entscheidungskriterium bei der Auswahl von Penetrationstest Dienstleistern sein sollte #pentestwissen
Der Preis ist heiß! So oder so ähnlich lief es früher in der gleichnamigen Spielshow im linearen Fernsehen mit Harry Wijnvoord und Walter Freiwald ab: in der Vorrunde eines Preisspiels musste der Preis eines angebotenen Gegenstandes geschätzt werden. Dabei war es aber wichtig, als Kandidat den Preis nicht zu hoch anzusetzen. Aber was genau hat das mit #Pentestwissen zu tun? […]
weiterlesen …
tl;dr: Brute-Force Angriffe im Rahmen eines Penetrationstests bieten so gut wie keinen Mehrwert und stellen in fast allen Fällen eine falsche Verwendung der Prüfungsressourcen dar. Zielführender ist es stattdessen, gezielt den Schutz der Anwendung vor dieser Angriffsart zu untersuchen und zu prüfen. Um was geht es? Moderne Angreifer:innen benutzen eine Vielzahl an Angriffstechniken, die eine große Bandbreite von technisch ausgefeilt […]
weiterlesen …