General Questions¶
Link zu Pre-engagement – General Questions
Die General Questions des PTES dienen in realen Projekten dazu, den Rahmen eines Penetrationstests gemeinsam mit dem Auftraggeber sauber abzustecken.
Für unsere Laborumgebung ist es jedoch nicht immer möglich oder sinnvoll, jede Frage vollständig oder realitätsgetreu zu beantworten.
Wichtig ist, dass man sich grundsätzlich mit diesen Fragen auseinandersetzt und versteht:
- In welchem Kontext solche Fragen gestellt werden
- Wer sie normalerweise beantwortet (meist Kunde ↔ Pentester im Scoping Meeting)
- Warum sie für echte Penetrationstests relevant sind
Wenn wir die Fragen im Rahmen der Laborarbeit beantworten möchten, orientieren wir uns an den beiden Szenarien:
- Netzwerk-Penetrationstest (Kali → Windows & Ubuntu Server)
- Web-Applikations-Penetrationstest (Web-Apps auf beiden Servern)
Der Schwerpunkt liegt jedoch weniger auf der vollständigen Beantwortung jedes Eintrags, sondern vielmehr auf dem Verständnis, wie solche Fragen den Umfang (Scope), die Erwartungen und die Testbedingungen eines realen Pentests definieren:
Netzwerk-Penetrationstest¶
| Frage | Mögliche Antwort | Bemerkung |
|---|---|---|
| Warum lässt der Kunde den Penetrationstest in seiner Umgebung durchführen? | Um die Sicherheit der Web-Applikationen und Server zu überprüfen (Angriffsoberfläche ermitteln, Schwachstellen aufzeigen). | |
| Ist der Penetrationstest für eine bestimmte Compliance-Anforderung erforderlich? | Nein, es handelt sich um eine Laborübung / Ausbildungsumgebung. | Eine Compliance-Anforderung ist eine Vorschrift oder ein Standard (gesetzlich, vertraglich, branchenspezifisch), z. B. DSGVO, PCI DSS, ISO 27001. |
| Wann möchte der Kunde, dass die aktiven Teile des Penetrationstests (Scannen, Enumeration, Exploitation usw.) durchgeführt werden? | Flexibel – in der Laborumgebung jederzeit möglich. | |
| Wie viele Gesamt-IP-Adressen werden getestet? | 2 (Windows Server VM, Ubuntu Server VM). | |
| Wie viele interne IP-Adressen? | 2 interne Adressen im Labor-Netzwerk. | |
| Wie viele externe IP-Adressen? | Keine externen IP-Adressen, nur interne. | |
| Gibt es Geräte, die die Ergebnisse eines Penetrationstests beeinflussen könnten, z. B. Firewall, IDS/IPS, Web Application Firewall oder Load Balancer? | Nein, in der Laborumgebung sind keine zusätzlichen Sicherheitsgeräte aktiv. | Ein IDS erkennt verdächtige Aktivitäten im Netzwerk; ein IPS blockiert solche zusätzlich. Ein Loadbalancer verteilt Netzwerk- oder Anwendungsverkehr automatisch auf mehrere Server. |
| Falls ein System kompromittiert wird, wie soll das Testteam vorgehen? | Privilegienausweitung bis Administrator/root ist erlaubt. Lokale Schwachstellenanalyse ist erlaubt. Passwortangriffe nur im Rahmen des Labors – kein Brute-Force auf Produktivsysteme. | Ein kompromittiertes System hat unautorisierten Zugriff erlitten und steht nicht mehr voll unter Kontrolle des Eigentümers. |
Web-Applikations-Penetrationstest¶
| Frage | Mögliche Antwort | Bemerkung |
|---|---|---|
| Wie viele Webanwendungen werden getestet? | Mehrere, installiert auf Windows Server & Ubuntu Server. | |
| Wie viele Login-Systeme werden getestet? | Mindestens 1 Login pro Anwendung (genaue Anzahl je nach Setup). | |
| Wie viele statische Seiten werden getestet? (ungefähr) | Abhängig von der App, geschätzt 5–10 pro Anwendung. | |
| Wie viele dynamische Seiten werden getestet? (ungefähr) | Abhängig von der App, geschätzt 10–20 pro Anwendung. | |
| Wird der Quellcode zur Verfügung gestellt? | Nein, Black-Box-Test ohne Quellcode. | Blackbox-Test = kein internes Wissen des Testteams. Grey-Box-Test = teilweise Informationen verfügbar. White-Box-Test = vollständige interne Informationen wie Quellcode oder Konfigurationsdaten. |
| Wird irgendeine Form von Dokumentation zur Verfügung gestellt? | Keine spezielle Dokumentation vorhanden, nur grundlegende App-Beschreibung. | |
| Falls ja, welche Art von Dokumentation? | Nicht relevant. | |
| Soll statische Codeanalyse durchgeführt werden? | Nein, da kein Quellcode vorliegt. | |
| Soll Fuzzing gegen diese Anwendung durchgeführt werden? | Ja, z. B. Parameter-Fuzzing mit Burp Suite. | Fuzzing = automatisiertes Testen mit vielen zufälligen/fehlerhaften Eingaben, um Schwachstellen aufzudecken. |
| Soll rollenbasierte Testung durchgeführt werden? | Nein, nur Standard-Login-Tests (keine Rollenverwaltung dokumentiert). | |
| Soll ein credentialed Scan durchgeführt werden? | Ja, sofern Test-Accounts vorhanden sind (z. B. Demo-User). | Credentialed Scan = Scanner meldet sich mit gültigen Accounts an und erhält dadurch tiefere Informationen. |