Arten von Penetrationtests
Ja, auch das Testen von APIs gehört zu unserem Repertoire. Insbesondere dann, wenn Ihre Webseite eine API zur Verfügung stellt, macht es durchaus auch Sinn diese in den Penetrationtest einzubeziehen.
Ein Schwachstellenscan ist eine automatische Analyse. Dabei werden häufig viele False Positives gefunden, komplexere Probleme bleiben dagegen häufig verborgen. Aus diesem Grund kann ein Schwachstellenscan zwar Teil eines Penetrationtests sein (um sich einen ersten Überblick über mögliche Probleme zu verschaffen) sollte aber nicht als Ersatz genutzt werden, da er sehr viel oberflächlicher ist.
Bei einem Penetrationtest denkt man oft instinktiv an das Hacken von Webseiten oder Netzwerken. Doch wozu das alles wenn jeder einfach in das Büro spazieren kann, sich einen Ordner mit sensiblen Daten greift und wieder verschwindet? Bei einem physischen Penetrationtest überprüfen wir deshalb wie es um die Sicherheit Ihrer Firmengebäude bestellt ist: Welche Arten von Zugangskontrollen gibt es, welche Schwächen weisen diese auf, sind Räume von besonderem Interesse (z.B. Serverraum) zusätzlich gesichert etc.
Bei einem Web Penetrationtest testen wir eine Webanwendung auf ihre Sicherheit. Dabei spielt es keine Rolle ob es sich um eine selbstprogrammierte Webseite handelt oder ein Content Management System (CMS). Beide Varianten weisen charakteristische Schwächen auf.
Eine Perimeteranalyse ist eine Überprüfung des Sicherheitsstatus eines Netzwerks: funktioniert die Firewall zuverlässig? Welche Ports sind am Server offen? Etc. Im Gegensatz zu einem Penetrationtest ist die Perimeteranalyse also eher passiver angelegt, dafür aber auch weniger zeitintensiv.
Unter Phishing versteht man das Versenden bösartiger Emails mit dem Ziel Zugangsdaten wie Usernamen und Passwörter zu erbeuten oder das Opfer zu einer Aktion wie einem Download zu bewegen. Phishing stellt einen häufigen ersten Angriff dar, mit dem sich ein Angreifer eine Basis für sein weiteres Vorgehen schaffen kann.
Social Engineering ist das Hacken von Menschen. Das klassische Beispiel ist ein Angreifer der sich als Mitarbeiter der IT-Abteilung ausgibt und nach den Zugangsdaten für den Account des jeweiligen Mitarbeiters fragt, weil er dort etwas zurücksetzen/updaten/neu aufsetzen muss. Wenn Sie möchten verwenden wir auch bei unseren Penetrationtest Social Engineering Methoden.