Bei einem Penetration Test oder Pentest führen wir eine umfassende Sicherheitsprüfung aller relevanten Komponenten Ihres Netzwerkes und/oder Webserver durch.

So verschieden wie die Strukturen die wir prüfen sind auch die Ansätze nach denen die Prüfung erfolgt – bei einer umfassenden Sicherheitsprüfung hat sich aber der folgende Ablauf als sinnvoll erwiesen:

  • Definition der Ziele der Prüfung
  • Definition der zu prüfenden Objekte
  • Infomationssammlung
  • Prüfung auf Schwachstellen
  • Dokumentation der Resultate
  • Besprechung der Resultate

Da sowohl die Server-Infrastruktur wie auch Applikationen in den meisten fällen immer wieder angepasst werden ist eine periodische Prüfung sinnvoll (z.B. jährlich, nach grösseren Updates, nach Wechseln der Infrastruktur o.ä.)

 

 Webserver

Folgende Themenbereiche werden während einer Standard-Prüfung genau unter die Lupe genommern:

  • für das Angebot zuständige DNS Server (Nameserver)
  • für das Angebot zuständige Mailserver
  • Web- und Applikationsserver
  • Suche nach weiteren Servern der Kundin / des Kunde
  • Prüfung von externen Dienstleistern (Newsletter ASP, Payment Gateways etc)
  • Website der Kundin / des Kunden

 

 Webapplikation

Auf der Website wird folgendes geprüft

  • Anfälligkeit auf SQL Injection
  • Anfälligkeit auf XSS / Cross Site Scripting
  • Suche nach Dateien und Ordnern mit nicht für die Öffentlichkeit bestimmten Inhalten
  • Suche nach Fehlern in der Applikation welche die Ausgabe von nichtöffentlichen Daten oder die Ausführung von Programmen auf dem Server ermöglichen
  • Suche nach Fehlkonfigurationen (Directory Listing, SSL Konfiguration)
  • Sicherheit der Kundendaten (Logins, Sessions, Verschlüsselung etc.)

 

Wifi Netzwerk

  • Aufbau des Netzwerkes
  • Authentifizierung
  • Eingesetzte Verschlüsselungsmethoden
  • Admin Zugänge
  • Client Isolation
  • Rogue Access Point
  • Evil Twin

 

Der Prüfbericht bietet neben einer Einstufung von “Gut” bis “Hohes Risiko” für jedes Kriterium auch Hintergrundinformationen zu allen Tests und Resultaten.

Die Tests können als Blackbox, Graybox oder Whitebox Tests durchgeführt werden – entsprechend haben wir vor dem Test keine bis detaillierte Angaben von Ihnen zu Ihrem Netzwerk und Ihrer Infrastruktur.

Natürlich lassen können wir auf Wunsch auch nur spezifische Teilbereiche prüfen.

Rufen Sie jetzt an auf  043 542 97 37 für eine unverbindliche Beratung!

 

Dieser Text ist auch verfügbar auf: EN