Automatisierte Penetrationstests

In manchen Simulationen kommt aufgrund der spezifischen Anforderungen einer Sitzung von  Projektlaufzeiten unser neues ARPT (Automatische Schnelle Penetration Testing) Model zum Einsatz. Während dieses Prozesses werden verschiedene Werkzeuge und Programme verwendet. Diese automatisierten Programme werden von den Fachinformationssicherheitsexperten und Sicherheitstechnikern entwickelt und sind meist Open-Source, öffentlich lizenziert oder vom Vulnerability Lab selbst entwickelt worden.

Da das automatisierte Testen mit Anwendungen zu Fehlalarmen neigt, versuchen unsere Penetrationstester alle Aufzeichnungen doppelt zu überprüfen, um sicherzustellen, dass alle Sicherheitslücken/Schwachstellen gültig sowie richtig verarbeitet wurden. Dies verbessert die Qualität der Arbeit welche wir verrichten und hilft uns, unsere Arbeit professionell abzuliefern um die Zufriedenheit des Kunden zu garantieren. Unser Team ist nicht abhängig von spezifischen Werkzeugen, Programmen und Scannern. Die Werkzeuge, die von uns in einem automatisierten Penetrationstest verwendet werden, hängen immer vom  Umfang und den Gegebenheiten des Jobs im einzelnen Projekt ab.

Die Art der Tests variieren je nach Umfang der Arbeit, des Kunden. Es folgt eine allgemeine Liste von Sicherheitsproblemen die unser Sicherheitsteam während eines laufenden automatisierten Penetrationstests identifizieren kann.

• Authentication
• Authorization
• Session State Management
• Input Validation
• Web datastores
• XML/SOAP web services
• Web application management
• Known Vulnerabilities
• Unvalidated Input
• Broken Access Control
• Broken Authentication and Session Management
• Web Session Flaws & Vulnerabilities
• Cross Site Scripting (XSS) Flaws
• Classic Buffer Overflows
• Script Code Injection Flaws
• SQL Injection Flaws
• Format Strings
• Stack- & Heap- Overflow
• Improper Error Handling
• Insecure Storage
• Denial of Service
• Insecure Configuration Management