In der Vorgehensweise – oder eigentlich bei dem Umfang der zur Verf\u00fcgung gestellte Informationsbasis f\u00fcr den Penetrationstester – lassen sich in drei Varianten unterscheiden: Whitebox-, Greybox- und Blackbox-Pentest. <\/p>\n\n\n\n
Der Blackbox-Pentest entspricht ziemlich genau der Informationsbasis von einem typischen externen Angreifer \u00fcber das Internet. Er kennt nur sein Ziel, alle anderen Informationen muss er sich selbst zusammen suchen. Seien es IP-Adressen, DNS-Eintr\u00e4ge, verwendete Programmiersprachen \u00fcber Stellenanzeigen.. die M\u00f6glichkeiten zum Information Gathering sind umfangreich, aber auch zeitaufwendig. Und erh\u00f6hen damit die Kosten eines Pentests, um zum gleichen Ergebnis wie beim Whitebox- oder Greybox-Ansatz zu kommen.<\/p>\n\n\n\n
Der Whitebox-Pentest ist das Gegenteil vom Blackbox-Pentest: Hier erh\u00e4lt der Penetrationstester klassischerweise einfach alle Informationen und Daten, die er eventuell ben\u00f6tigen k\u00f6nnte: Dokumentation zu den IT-Systemen, Informationen \u00fcber Konfigurationseinstellungen, Netzwerkdiagramme oder z.B. gar den Quelltext der vom Auftraggeber betriebenen Web-Anwendungen. Ein Pentester landet schnell im Informations\u00fcberfluss, der wiederum Zeit und damit Geld kostet.<\/p>\n\n\n\n
Ein guter Kompromiss zum Whitebox- und Blackbox-Pentest, ist der Greybox-Pentest. Der Penetrationstester enth\u00e4lt hier in der Regel mindestens alle Informationen, die ihm einfach nur wertvolle Zeit ersparen und er ohnehin gefunden h\u00e4tte. Zudem muss ein Auftraggeber nicht alle internen Informationen und Dokumentationen aus der Hand geben. Typischerweise kann hier auch w\u00e4hrend des eigentlichen Test vom Pentester weitere Informationen eingeholt werden, wie z.B. welches Datenbanksystem eine Anwendung verwendet. So kann er zielgerichteter Testen und m\u00f6glichst effizient alle Schwachstellen in IT-Systemen und IT-Anwendungen identifizieren.<\/p>\n","protected":false},"excerpt":{"rendered":"
In der Vorgehensweise – oder eigentlich bei dem Umfang der zur Verf\u00fcgung gestellte Informationsbasis f\u00fcr den Penetrationstester – lassen sich in drei Varianten unterscheiden: Whitebox-, Greybox- und Blackbox-Pentest. Der Blackbox-Pentest entspricht ziemlich genau der Informationsbasis von einem typischen externen Angreifer \u00fcber das Internet. Er kennt nur sein Ziel, alle anderen Informationen muss er sich selbst … [Read more…]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[279],"tags":[],"class_list":{"0":"entry","1":"post","2":"publish","3":"author-psauer","4":"post-3464","6":"format-standard","7":"category-fragen-und-antworten"},"_links":{"self":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3464","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/comments?post=3464"}],"version-history":[{"count":2,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3464\/revisions"}],"predecessor-version":[{"id":3466,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3464\/revisions\/3466"}],"wp:attachment":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/media?parent=3464"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/categories?post=3464"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/tags?post=3464"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}