Ein Penetrationtest, kurz Pen Test ist ein
autorisierter, simulierter Angriff auf ein Computersystem,
der durchgeführt wird, um die Sicherheit des Systems zu
bewerten.
Bei Stresstests werden diverse Anwendungssysteme wie z.B.
Anwendungsprotokollschnittstellen (APIs), Frontend und
Backend auf Schwachstellen hin geprüft. Die Erkenntnisse
aus dem Penetrationtest können zur Feinabstimmung Ihrer
WAF-Sicherheitsrichtlinien und zur Behebung der erkannten
Schwachstellen genutzt werden.
Es gilt zuerst den Umfang und die Ziele eines Tests zu definieren. Dazu sind die zu adressierenden Systeme und die zu verwendenden Testmethoden zu bestimmen. Basierend darauf werden Informationen gesammelt, um zu verstehen, wie ein Ziel funktioniert und welche Schwachstellen es gibt.
Der nächste Schritt besteht darin, zu verstehen, wie die Zielanwendung auf verschiedene Angriffsversuche reagiert.
Analyse der Codes einer Anwendung mit dem Ziel das Verhalten bei dessen Ausführung zu verstehen. Wir können mit unseren Tools den gesamten Code in einem einzigen Durchgang scannen and analysieren.
Überprüfen der Codes einer Anwendung im Betriebszustand. Dies ist eine praktischere Methode des Scannens, da sie einen Echtzeitüberblick über die Leistung und Schwachstellen der Anwendung bietet.
In diesem Stadium werden Web-Anwendungsangriffe wie
Cross-Site-Scripting, SQL-Injektion und Hintertüren
(Backdoors) verwendet, um die Schwachstellen einer
Webanwendung offenzulegen.
Unsere Sicherheitsexperten versuchen anschliessend
Schwachstellen auszunutzen, indem sie die Benutzerrechte
erhöhen, den Datenverkehr mitschneiden oder Daten stehlen.
Ziel ist es, herauszufinden, welcher Angriff welchen
Schaden verursachen kann.