Als ich vor ein paar Tagen über Twitter fragte, worüber ich den mal wieder bloggen sollte, kam der Wunsch nach der Beschreibung des Vorgangs meines “Pentests”.
Zunächst möchte ich nicht direkt von Penetrationtests bzw. Pentests sprechen, denn dazu fehlt mir die Qualifikation. Deswegen spreche ich lieber von “Security-Check” bzw. “Sec-Check” :)
Wenn man trotzdem wissen möchte, wie ein ordentlicher Penetrationtest aussehen sollte, so empfehle ich den Artikel meinen Partnern von bash.ch.
Trotzdem soll es das mit dem Artikel nicht gewesen sein, weswegen ich nun noch beschreibe, wie ich meine Überprüfungen mache. Zunächst kann ich behaupten, dass ich dazu keine Tools, bis auf einen Browser mit einigen Plugins, nutze, sondern alles soweit von Hand absuche.
1. Google
Zunächst befrage ich Google, was es mir zu dieser Seite zu sagen hat, denn oft findet man sehr viele interessante Sachen, wie Logdateien/interne Dokumente/Applikationsfehler über die Suchmaschine, wenn man weiß wie man diese “ordentlich” bedient.
2. Seitenanalyse
Nachdem ich über Google einige Informationen gefunden habe, schaue ich mir die Seite mal von “Anfang” (Startseite) an. Das umfasst den Quelltext, in dem ggf. Versionsnummern zu dem genutzten CMS oder andere hinweisgebende Kommentare vorhanden sind.
Zudem prüfe ich daraufhin Eingabefelder, welche einem auf der Seite erscheinen auf deren Sicherheit.
3. Einmal Vuln, mehrfach Vuln
Wie es mir nun schon öfters vorgekommen ist, sind Seiten oft so aufgebaut, dass wenn man dort eine Sicherheitslücke findet, man in der Nähe auch gleich noch weitere zu entdecken sind. Man könnte das mit Pilze-Suchen im Wald vergleichen, sodass ich meine Untersuchungen an einer Seite je nach Situation mal stärker in die eine Richtung oder in die andere Richtung verschiebe.
4. Keine Vollständigkeit
Mir ist es wichtig noch zu sagen, dass ich nie eine Garantie auf Vollständigkeit gebe, denn ich kann eben nicht garantieren, dass ich wirklich alle möglichen Einfallstore gefunden habe.
5. Hinweis
Sollte ich ein Sicherheitsproblem gefunden haben, dann gebe ich den Administratoren bzw. Seitenbetreibern einen Hinweis per Email.
Das war es dann eigentlich auch schon.
Gruß
gehaxelt