A
Der Test umfasst im Arbeitspaket eins das Szenario „Außentäter“. Dieses Szenario dient dazu, einen „klassischen“ externen Hacker-Angriff zu simulieren. Dabei versucht ein Angreifer von außen ohne weitere Informationen oder Zugangsdaten, Zugriff auf Systeme und Daten zu erhalten. In diesem Arbeitspaket werden unter anderem Schwachstellen wie die folgenden identifiziert:
- Verwendung veralteter Software
- Directory Bruteforce
- Fehlendes Rate Limiting
- Einsatz von unsicheren Verschlüsselungsverfahren
- Fehlende HTTP-Header
- Remote Code Execution
- Cross-Site-Request-Forgery
- Preisgabe sensibler Daten
- Unsichere Default Credentials
Während der Untersuchungen in diesem Arbeitspaket werden viele unterschiedliche Tools und manuelle Techniken zur Identifikation von Schwachstellen angewendet. So werden unter anderem die folgenden Techniken und Angriffe durchgeführt:
- OSINT-Analyse
- Portscanning
- Vulnerability Idenfication
- Man-in-the-Middle Angriffe auf verschlüsselte Kommunikation
- HTTP-Header Analyse
- Bruteforce von Login-Feldern
- Authorization Testing
- Directory Enumeration
- Testing von Default-Credentials
Methoden des Social Engineering, wie beispielsweise Phishing sind nicht Teil des Angriffs. Ziel dieses Arbeitspakets ist es, die folgenden Fragestellungen in Bezug auf die externen Systeme zu beantworten:
- Können Systeme unberechtigt ohne gültige Zugangsdaten benutzt werden?
- Kann ein Angreifer auf vertrauliche Daten zugreifen?
- Ist ein Angreifer in der Lage, unbefugt Daten zu ändern?
- Sind die eingesetzten Verschlüsselungstechniken aktuell oder können diese umgehen werden?
- Kann über das Zielsystem auf das interne Netzwerk zugegriffen werden?
- Kann ein Angreifer höhere Berechtigungen erlangt werden?
- Können Authentifizierungsmechanismen umgangen werden?
- Wird veraltete Software genutzt?
In diesem Arbeitspaket werden Angriffe auf das interne Netzwerk der Auftraggeberin simuliert. Hierbei wird von einem Angreifermodell mit nicht autorisierten Zugriff auf das interne Firmennetzwerk ausgegangen. Ziel dieses Arbeitspakets ist es, Zugriff auf interne Dienste und Systeme zu erlangen und so das interne Netzwerk zu übernehmen. Dabei können Schwachstellen, wie die Folgenden, identifiziert werden:
- Einsatz von veralteter Software
- Unsichere Default Credentials
- Fehlende oder unzureichende Verschlüsselungsverfahren
- Unsichere Router Konfiguration
- Fehlende Netzwerkseparierung
- Remote Code Execution
- Einsatz von veralteten Protokollen
- LLMNR Spoofing
- Verwendung von NTLMv1 Hashes
- Fehlende Client-Isolation
- Informationspreisgaben
Während dieses Arbeitspakets werden im internen Netzwerk unterschiedliche Techniken und Methoden angewendet. Dies kann ebenfalls dazu verwendet werden, das Logging von Sicherheitsvorfällen zu evaluieren. Während des Tests werden unter anderem diese Angriffe durchgeführt:
- Portscanning
- Passwort-Spraying
- Golden/Silver Ticket
- LLMNR/NBT-NS/mDNS Spoofing
- SMB Relay-Angriffe
- IDS und IPS Evasion
- Default Credentials
- Man-in-the-Middle Angriffe auf verschlüsselte Kommunikation
- Authorization Testing
- HTTP-Header Analyse
- Bruteforce von Admin-Panels
- Bypass von Firewall-Filterungen
Methoden des Social Engineering, wie beispielsweise Phishing sind nicht Teil des Angriffs. Ziel dieses Arbeitspakets ist es, die folgenden Fragestellungen in Bezug auf die internen Systeme und Netzwerke zu beantworten:
- Können auf Netzbereiche ohne Firewall Freischaltung zugegriffen werden?
- Können Systeme unberechtigt ohne gültige Zugangsdaten benutzt werden?
- Kann ein Angreifer auf vertrauliche Daten zugreifen?
- Werden im internen Netzwerk durchgehend verschlüsselte Verbindungen genutzt?
- Können unsicher konfigurierte Dateifreigaben identifiziert werden?
- Können auf externe Netzbereiche über Jump-Hosts zugegriffen werden?
- Kann ein Angreifer höhere Berechtigungen im Active Directory erlangen?
- Können Authentifizierungsmechanismen im Actice Directory umgangen werden?
- Wird veraltete Software genutzt?
Bei diesem Arbeitspaket wird ein Angriff eines “Hackers” auf eine Webanwendung simuliert. Hierbei werden neben Angriffe ohne Authentifizierung auch Angriffe durchgeführt, welche nur von authentifizierten Benutzern durchgeführt werden können. Für dieses Arbeitspaket werden daher von der Auftraggeberin Zugangsdaten für jede Hierarchiestufe bereitgestellt.
Bei solch einem Penetrationstest einer Webanwendung können Schwachstellen wie die Folgenden identifiziert werden:
- Stored/Reflected Cross-Site-Scripting
- SQL-Injections
- Insecure-Direct-Object-Referencing
- Template Injections
- NoSQL-Injections
- Authorization Bypass
- Unrestricted File-Upload
- Unsichere HTTP-Header
- Informationspreisgaben
- Directory Bruteforce
- Fehlendes Rate Limiting
- Unsichere Verschlüsselungsverfahren
- Business Logic Flaws
Während der Durchführung der Analyse einer Webanwendung werden unterschiedliche Methoden und Techniken eingesetzt, um die Anwendung auf Schwachstellen hin zu untersuchen. Dabei werden unter anderen Methoden wie die Folgenden für die Suche nach Schwachstellen genutzt:
- Subdomain Enumeration
- Directory Bruteforcing
- Improper Access Management
- Rate Limimiting
- Injection Testing
- Testen von unsicheren Server-Konfigurationen
- Insecure Design Flaws
- Server-Side-Request-Forgery Angriffe
- Broken Access Control
- Cryptographic Failures
Bei der Durchführung der Sicherheitsanalyse einer Webanwendung werden keine Methoden des Social-Engineerings wie Phishing verwendet. Des Weiteren wird von Denial-of-Service Tests, welche eine hohe Last auf dem Server erzeugen, abgesehen.
Ein Angreifer von außen versucht, mit den von Ihnen angegebenen Informationen, schadhaften Einfluss auf die Webapplikation zu nehmen und versucht, Sicherheitslücken aufzuspüren und auszunutzen. (Ggf.: Hierbei werden die verschiedenen Hierarchiestufen betrachtet. Dazu erhält die AWARE7 für jede Hierarchiestufe einen Zugang).
Identifikation von Angriffsvektoren und Schwachstellen im Rahmen einer legitimierten Rolle innerhalb der Anwendungen. Insbesondere werden hierbei „Insider Threats“ fokussiert. Das Ziel dieses Arbeitspakets ist es, die folgenden Fragen vollumfänglich zu beantworten:
- Kann unberechtigt auf Daten zugegriffen werden?
- Können Anfragen im Backend manipuliert werden und so Hintergrundsysteme erreicht werden?
- Kann der Programmfluss der Webanwendung manipuliert und gesteuert werden?
- Ist es möglich, Datenbankabfragen zu manipulieren und somit auf sensible Daten zuzugreifen?
- Finden sich auf dem Webserver vertrauliche Daten, auf die zugegriffen werden kann?
- Ist es möglich, auf Daten anderer Benutzer zuzugreifen?
- Können die eingesetzten Verschlüsselungstechniken umgangen werden?
- Ist es möglich, Zugriff auf das Dateisystem zu erlangen?
- Kann ein Angreifer sich Berechtigungen erschleichen?
- Ist es möglich den Login und somit den Authentifizierungsmechanismen zu umgehen?
