Zum Inhalt

Exploitation Phase

Link zur offiziellen PTES-Dokumentation

Einleitung

Die Exploitation Phase ist der Teil des Penetrationstests, in dem zuvor identifizierte Schwachstellen gezielt ausgenutzt werden.
Ziel ist es zu überprüfen, ob Schwachstellen tatsächlich ausnutzbar sind und welche Auswirkungen ein erfolgreicher Angriff hätte.

Dabei geht es nicht um Zerstörung oder Stress-Tests, sondern um den kontrollierten Nachweis eines realistischen Angriffs.

Um was geht es bei dieser Phase?

In der Exploitation-Phase wird überprüft, was ein Angreifer tatsächlich erreichen kann.
Der Fokus liegt auf:

  • der praktischen Ausnutzung identifizierter Schwachstellen
  • dem Nachweis der Ausnutzbarkeit
  • der Bestätigung von Risiken aus der Vulnerability Analysis
  • der Simulation realer Angriffsszenarien
  • der Dokumentation des erzielten Zugriffs
  • der Einhaltung der definierten Rules of Engagement

Nicht jede Schwachstelle wird automatisch ausgenutzt.
Exploits werden gezielt, kontrolliert und risikobewusst eingesetzt.

Wichtige Aussagen aus der PTES-Dokumentation

Im Folgenden gehe ich auf zentrale Sätze aus der offiziellen PTES-Dokumentation ein und erläutere deren Bedeutung.

Fiktives Beispiel: Exploitation in der Praxis

Ausgangssituation

In der Vulnerability-Analysis-Phase wurden mehrere Schwachstellen identifiziert:

  • fehlende Zugriffskontrolle beim Rechnungsdownload
  • schwache Passwortrichtlinien
  • unsichere Session-Cookies

Diese Schwachstellen sollen nun kontrolliert überprüft werden.

Schritt 1: Auswahl der Exploits

Nicht alle Schwachstellen werden genutzt.
Für das Beispiel werden ausgewählt:

  • Fehlende Zugriffskontrolle (hohe Auswirkung)
  • Schwache Passwortrichtlinie (realistische Ausnutzung)

Schritt 2: Ausnutzung der Schwachstellen

Beispiel 1: Zugriff auf fremde Rechnungen

  • Ein eingeloggter Benutzer manipuliert die Rechnungs-ID in der URL
  • Die Anwendung prüft nicht, ob die Rechnung zum Benutzer gehört
  • Ergebnis: Download einer fremden Rechnung ist möglich

Beispiel 2: Accountübernahme

  • Mehrere einfache Passwortversuche werden durchgeführt
  • Es existiert keine effektive Passwort-Richtlinie
  • Kein Account-Lockout nach Fehlversuchen
  • Ergebnis: Zugriff auf ein fremdes Benutzerkonto

Schritt 3: Nachweis des Erfolgs

Der Tester dokumentiert:

  • welche Schwachstelle ausgenutzt wurde
  • wie der Angriff durchgeführt wurde
  • welcher Zugriff möglich war
  • welche Daten eingesehen werden konnten

Es werden keine Daten verändert oder gelöscht.

Schritt 4: Abbruch und Absicherung

Nach erfolgreichem Nachweis:

  • werden Sessions beendet
  • erlangte Zugangsdaten nicht weiterverwendet
  • der Umfang des Zugriffs nicht überschritten

Alle Aktionen bleiben innerhalb der vereinbarten Regeln.

Ergebnis der Exploitation-Phase

Am Ende der Phase ist klar:

  • welche Schwachstellen praktisch ausnutzbar sind
  • welche Auswirkungen ein Angreifer hätte
  • welche Risiken nachweislich kritisch sind

Diese Erkenntnisse bilden die Grundlage für Post-Exploitation und Reporting.