News

Pentest FAQ – #7 und #8 – Was ist ein Penetrationstest? Und was nicht?

Sep 2, 2019

Pentest FAQ - #7 und #8 - Was ist ein Penetrationstest? Und was nicht?In unserer großen Application Security Penetration Test FAQ für Auftraggeber beantworten wir alles, was man vor, während und nach Beauftragung eines Application Security Penetrationstests wissen sollte. 

Heute im Fokus: 

Frage #7: Was ist ein Penetrationstest?

Bei einem Penetrationstest nimmt der Tester die Rolle des Angreifers ein. Er greift mit allen ihm zur Verfügung stehenden Mitteln von außen – im Unterschied zu Analysetechniken, die „innen“ ansetzen, wie etwa die Codeanalyse – auf die Anwendung zu, um Schwachstellen aufzudecken. Dabei setzt er sein umfangreiches Wissen über Schwachstellen ein und wendet allerlei Tricks zum Aushebeln von Sicherheitsmechanismen an. Das Ergebnis ist ein Bericht, der die Schwachstellen in nachvollziehbarer Weise beschreibt, sie hinsichtlich ihres Gefahrenpotenzials bewertet und Gegenmaßnahmen nennt.

Weil er als gutartiger „Hacker“ agiert, wird der Pentester auch gerne White-Hat Hacker (im Unterschied zum bösartigen Black-Hat Hacker) oder Ethical Hacker genannt.

Frage #8: Und was ist ein Application Security Penetrationstest nicht?

Bei einem Penetrationstest einer Web- oder mobilen Anwendung geht es hingegen nicht darum, das Angreiferszenario möglichst realistisch nachzustellen, um daraus schließen zu können, ob ein Angreifer in die Anwendung eindringen könnte oder nicht. Und diese im ersten Fall als unsicher, im zweiten als sicher zu bewerten. Vielmehr ist der Penetrationstest als Qualitätssicherungsmaßnahme zu verstehen. Es gilt, möglichst alle, die Sicherheit einer Anwendung berührenden Auffälligkeiten zu erkennen, sie, auch im Zusammenhang, zu bewerten und, wenn sie ein tatsächliches Risiko darstellen, einer Behebung zuzuführen. Der Tester kann seine Rolle dann am wirkungsvollsten ausführen, wenn er dabei die bestmögliche Unterstützung erhält – mehr dazu in Frage 10.

Neugierig geworden? Downloaden Sie sich hier die gesamte FAQ oder bestellen Sie noch heute einen Pentest zum attraktiven Fixpeis!  

Recent posts

mgm sp @ Dresden

Unser zweites Büro befindet sich in Sachsens Landeshauptstadt, Dresden. Statten Sie unserem Standort dort einen Besuch ab!

mehr lesen

mgm sp @ Heise DevSec

Mit dem Thema „Wie praxistauglich ist „DevSecOps“ wirklich? – Ein Erfahrungsbericht“ ist unsere Kollegin Maximiliane Zirm dieses Jahr auf der Heise devSec vertreten. 

mehr lesen

Pentests zum Fixpreis

Durch Einbindung unserer Kollegen in Vietnam und eine eingespielte Organisation ist es uns möglich, Penetrationstests zu einem sehr attraktiven Fixpreis anzubieten.

mehr lesen

Wenn Sie auf der Seite weitersurfen, stimmen Sie der Cookie-Nutzung zu.
If you continue to visit the site, you agree to the use of cookies.
Privacy Policy / Cookie Policy

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close