PENTESTS - PENTESTING.ONLINE  

Während ein Hacker meist glücklich ist nur EINE Lücke in dem angegriffenen System zu finden will der seriöse Pentester ALLE Lücken kennen und dokumentieren.

In diesem Sinne analysieren wir je nach gewünschtem Katalog (BSI, OWASP oder Kundeneigen) die Systeme auf Schwachstellen. Wir setzen hierbei durchaus zusätzlich auch auf bewährte Tools, validieren jedoch alle Fundstellen manuell nach. 

Lassen Sie sich nicht die ungefilterten Protokolle derartiger Tools als "Pentest" verkaufen - diese enthalten nach unserer Erfahrung mehr als 50% false Positives (Fehlmeldungen). 

Ein weiterer Bereich unserer Pentests ist die maßgeschneiderte Anfertigung von Tests und Exploits (z.B. für Connect Strings, Session IDs, SOAP Objekte, Protokoll Stacks, Handler etc.)

PHASEN eines Pentests

 

Phase I: Preparation / Interview

Erstellung des Angriffsszenarios, Festlegung der internen und externen Targets. Festlegung der Aggressivität, Blackbox/Greybox/Whitebox testing sowie Blind/Double-Blind tests. Vertragliche Vereinbarungen nach §302c ff.

 

 

Phase II: Reconnaissance  

Informationssammlung über die zu testenden Systeme aus verschiedensten Quellen

 

 

Phase III: Enumeration / Vulnerability analysis

Analyse der gefundenen Möglichkeiten, Recherche und Entwicklung der passenden Exploits

 

 

Phase IV: Exploitation

Je nach in Phase I festgelegter Angriffsart durchführung verschiedenster Angriffstechniken, Bewertung der Angriffsszenarios

 

 

Phase V: Documentation

Dokumentation der gefundenen Schwachstellen, ggf. mit erläuternden Texten und Links zur Problembeseitigung.

 

Kontakt:

 

Tel.: +49 (040) 5601594

Mobil: +49 (0172) 4202740

E‐Mail: s.freitag (at) pentest.expert