Phasen des Penetrationstests

Während des Webanwendungsdurchdringungstests können mehrere Schritte verallgemeinert werden. Jedes ist durch den Einsatz anderer Instrumente und das gleiche Ergebnis gekennzeichnet. Sie können auch feststellen, dass die einzelnen Phasen nicht immer genau nacheinander auftreten. Meistens sind die Ergebnisse einer Stufe jedoch häufig Eingaben für die nächste Stufe. Auf dem folgenden Abbild sind die extrahierten Phasen des Penetrationstests markiert: Die erste Phase des Webaplikationsdurchdringungstests besteht hauptsächlich darin, möglichst viele Informationen über die angegriffene Webanwendung zu sammeln. Jeder, selbst wenn er zunächst auf triviale Informationen wirkt, kann sich als entscheidend erweisen, um potenzielle Fehler zu finden und auszunutzen. Dabei handelt es sich hauptsächlich um Informationen über die verwendeten Technologien, die Netzwerkidentifikation und das Betriebssystem. Die nächste Phase konzentriert sich darauf, die gesamte App zu entdecken, ihre Funktionslogik und alle Funktionen zu kennen. Dies ist notwendig, um Sicherheitsfehler richtig zu bewerten und von den richtigen und erwarteten Ergebnissen der Anwendung zu unterscheiden. Als nächstes gibt es eine Phase, in der potenzielle Fehler gefunden werden. Dies geschieht durch verschiedene Arten von Tests. Auf diese Weise können Sie bestimmen, ob eine bestimmte Anwendungsfunktion auf gefährliche Weise genutzt werden kann. Die Phase der Ausnutzung der gefundenen Fehler wird fortgesetzt. Hier bereitet der Penetrationsteher den Angriffsvektor für jeden Gewinn vor – z. B. durch sensible Informationen. Je nach erzielten Ergebnissen bewertet der Angreifer die Kritischeität der erkannten Anfälligkeit. Die letzte und aus Kundensicht wichtigste Phase ist die genaue Dokumentation der festgestellten Anfälligkeiten und die Erstellung eines Forschungsberichts. Das erstellte Dokument sollte in einer universellen Sprache verfasst werden, die sowohl für technisches Personal als auch für Führungskräfte verständlich ist. Um schwierige Entscheidungen zu erleichtern, sollten festgestellte Schwachstellen so beschrieben werden, dass die Auswirkungen auf das Unternehmen nachgewiesen werden.