Penetrationstests simulieren einen realen Angriff auf Ihre Infrastruktur. Sie finden Schwachstellen, bevor ein Angreifer es tut.
Methodik¶
- Reconnaissance — Informationssammlung
- Scanning — Identifikation von Diensten und Schwachstellen
- Exploitation — Versuch der Ausnutzung
- Post-Exploitation — Lateral Movement
- Reporting — Dokumentation der Ergebnisse
Reconnaissance¶
Penetrationstests — Praktischer Leitfaden¶
whois example.com dig example.com ANY subfinder -d example.com theHarvester -d example.com -b google
Aktives Scanning¶
nmap -sV -sC -O -p- target.com nikto -h https://target.com
Werkzeuge¶
- Nmap: Port-Scanning, Service-Erkennung
- Burp Suite: Web-App-Testing
- Metasploit: Exploitation-Framework
- SQLMap: SQL-Injection-Automatisierung
- Nuclei: Schwachstellen-Scanning
Wichtigste Erkenntnis¶
Regelmäßig Pentests durchführen (min. 1x jährlich). Automatisiertes Scanning mit manuellem Testing kombinieren.
securitypentesthackingnmap