Bei Pentests ist oft von den drei verschiedenen Typen \u201eBlackbox-\u201c, \u201eGreybox-\u201c und \u201eWhitebox-Test\u201c die Rede. Hierbei handelt es sich um das Vorwissen, mit dem der f\u00fcr die Detailanalyse bzw. den Penetrationstest simulierte Angreifer auf die Systeme zugreifen kann.<\/p>\n\n\n\n
Bei diesem Test erh\u00e4lt der Analyst gew\u00f6hnlich nur den Namen bzw. die IP-Adresse des zu testenden Systems, sowie Informationen, die jedermann \u00f6ffentlich erhalten bzw. zugreifen kann. Diese Art der Analyse simuliert am ehesten einen externen Angreifer, der \u00fcber keinerlei Vorwissen \u00fcber das angegriffene System bzw. das angegriffene Ziel verf\u00fcgt. <\/p>\n\n\n\n
Dieser Test unterscheidet sich von dem Blackbox-Test insofern, dass der Angreifer zus\u00e4tzlich Detailinformationen zum System sowie, wenn verf\u00fcgbar, einfache Zugriffsrechte auf das System erh\u00e4lt (z.B. nicht-administrativen Nutzeraccounts). Mit diesen Wissen kann der simulierte Angriff deutlich zielgerichteter erfolgen, und die Aussagekraft des Ergebnisses ist deutlich h\u00f6her als bei einem Blackbox-Test, bei dem das Erlangen dieses Vorwissens gew\u00f6hnlich auch nur eine Frage der Zeit ist. Daher simuliert diese Art der Analyse einen registrierten bzw. internen Nutzer eines Systems, und ist in den meisten F\u00e4llen die empfohlene Analysemethode. <\/p>\n\n\n\n
Bei dieser Art des Tests kann der Analyst auf alle von ihm ben\u00f6tigten Informationen und Ressourcen zugreifen, wie z.B. auf einen administrativen Account auf dem Zielsystem, oder bei Selbstentwicklungen ggf. auf den Source-Code des zu testenden Systems. Diese Art der Analyse eignet sich vor allem f\u00fcr Tests, bei denen die Konformit\u00e4t zu einer Vorgabe\/einem Standard \u00fcberpr\u00fcft werden soll, sowie f\u00fcr begleitende Sicherheitsanalysen im Software-Entwicklungsprozess. <\/p>\n\n\n\n
\nDer empfohlene Test-Typ f\u00fcr die meisten Pentests ist der Greybox-Test, da er eine gute Mischung aus Aufwand und aussagekr\u00e4ftigem Ergebnis liefert.<\/p>\n<\/blockquote>\n","protected":false},"excerpt":{"rendered":"
Bei Pentests ist oft von den drei verschiedenen Typen \u201eBlackbox-\u201c, \u201eGreybox-\u201c und \u201eWhitebox-Test\u201c die Rede. Hierbei handelt es sich um das Vorwissen, mit dem der f\u00fcr die Detailanalyse bzw. den Penetrationstest simulierte Angreifer auf die Systeme zugreifen kann. Blackbox-Test Bei diesem Test erh\u00e4lt der Analyst gew\u00f6hnlich nur den Namen bzw. die IP-Adresse des zu testenden […]<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":16,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-148","page","type-page","status-publish","czr-hentry"],"_links":{"self":[{"href":"https:\/\/ksec-consulting.de\/index.php?rest_route=\/wp\/v2\/pages\/148","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/ksec-consulting.de\/index.php?rest_route=\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/ksec-consulting.de\/index.php?rest_route=\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/ksec-consulting.de\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/ksec-consulting.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=148"}],"version-history":[{"count":4,"href":"https:\/\/ksec-consulting.de\/index.php?rest_route=\/wp\/v2\/pages\/148\/revisions"}],"predecessor-version":[{"id":420,"href":"https:\/\/ksec-consulting.de\/index.php?rest_route=\/wp\/v2\/pages\/148\/revisions\/420"}],"up":[{"embeddable":true,"href":"https:\/\/ksec-consulting.de\/index.php?rest_route=\/wp\/v2\/pages\/16"}],"wp:attachment":[{"href":"https:\/\/ksec-consulting.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=148"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}