During a PENETRATION TEST or pentest we conduct a thorough review of all relevant components of your infrastructure and/or applications.
So verschieden wie die Strukturen die wir prüfen sind auch die Ansätze nach denen die Prüfung erfolgt – bei einer umfassenden Sicherheitsprüfung hat sich aber der folgende Ablauf als sinnvoll erwiesen:
- Definition der Ziele der Prüfung
- Definition der zu prüfenden Objekte
- Infomationssammlung
- Prüfung auf Schwachstellen
- Dokumentation der Resultate
- Besprechung der Resultate
Da sowohl die Server-Infrastruktur wie auch Applikationen in den meisten fällen immer wieder angepasst werden ist eine periodische Prüfung sinnvoll (z.B. jährlich, nach grösseren Updates, nach Wechseln der Infrastruktur o.ä.)
Webserver
Folgende Themenbereiche werden während einer Standard-Prüfung genau unter die Lupe genommern:
- für das Angebot zuständige DNS Server (Nameserver)
- für das Angebot zuständige Mailserver
- Web- und Applikationsserver
- Suche nach weiteren Servern der Kundin / des Kunde
- Prüfung von externen Dienstleistern (Newsletter ASP, Payment Gateways etc)
- Website der Kundin / des Kunden
Webapplikation
Auf der Website wird folgendes geprüft
- Anfälligkeit auf SQL Injection
- Anfälligkeit auf XSS / Cross Site Scripting
- Suche nach Dateien und Ordnern mit nicht für die Öffentlichkeit bestimmten Inhalten
- Suche nach Fehlern in der Applikation welche die Ausgabe von nichtöffentlichen Daten oder die Ausführung von Programmen auf dem Server ermöglichen
- Suche nach Fehlkonfigurationen (Directory Listing, SSL Konfiguration)
- Sicherheit der Kundendaten (Logins, Sessions, Verschlüsselung etc.)
Wifi Netzwerk
- Aufbau des Netzwerkes
- Authentifizierung
- Eingesetzte Verschlüsselungsmethoden
- Admin Zugänge
- Client Isolation
- Rogue Access Point
- Evil Twin
Der Prüfbericht bietet neben einer Einstufung von “Gut” bis “Hohes Risiko” für jedes Kriterium auch Hintergrundinformationen zu allen Tests und Resultaten.
Die Tests können als Blackbox, Graybox oder Whitebox Tests durchgeführt werden – entsprechend haben wir vor dem Test keine bis detaillierte Angaben von Ihnen zu Ihrem Netzwerk und Ihrer Infrastruktur.
Natürlich lassen können wir auf Wunsch auch nur spezifische Teilbereiche prüfen.
Rufen Sie jetzt an auf 044 586 64 68 für eine unverbindliche Beratung!