Black-, Gray- und White-Box Prüfung
Moritz Kaumanns
16. Sep. 2022
Penetrationstests können verschiedene Ziele haben und mit unterschiedlichen Strategien durchgeführt werden. Sie lassen sich in die folgenden typischen Arten unterteilen, die unterschiedliche Kenntnisse über das zu testende System erfordern.
Black-Box Prüfung
Eine Blackbox-Prüfung ist ein simulierter Test aus der Sicht eines Benutzers oder eines externen Angreifers. Der Tester erhält keine internen Details des Systems, wie z. B. die interne Dokumentation oder den Quellcode. Folglich konzentriert sich der Test zunächst auf die von außen zugänglichen Schnittstellen und öffentlichen Informationen.
Aufgrund der begrenzten Informationen über das System können solche Penetrationstests sehr schnell vorbereitet und gestartet werden. Ein großer Nachteil ist jedoch, dass Schwachstellen, die mit etwas mehr Aufwand (mehr Zeit) gefunden werden könnten, möglicherweise nicht entdeckt werden.
Gray-Box Prüfung
Ein Gray-Box-Audit ist eine Kombination aus einem White-Box- und einem Black-Box-Audit. Der Prüfer erhält begrenzte Informationen über ein Produkt oder eine Infrastruktur. Dazu können Teile der Dokumentation, Teile des Quellcodes oder sogar der Zugang zu bestimmten Bereichen einer Infrastruktur gehören.
Der Vorteil eines Gray-Box-Audits besteht darin, dass das Audit effektiver durchgeführt werden kann, da die internen Informationen über das System im Voraus bekannt sind. Das bedeutet, dass die Vorbereitungen gezielter sein können und versteckte Funktionen oder Endpunkte leicht identifiziert und getestet werden können.
White-Box Prüfung
Ein White-Box-Audit ist das Gegenteil eines Black-Box-Audits. Der Prüfer erhält vollen Zugriff auf den Quellcode, Architekturdiagramme, Datenflussdiagramme und andere Unterlagen. Aufgrund der Menge an Informationen müssen diese effizient ausgewertet und anschließend verwendet werden, um ein effektives Audit zu gewährleisten. Das Testen der einzelnen Komponenten kann dann allerdings intensiver sein, da keine Endpunkte, Funktionen oder Werte erraten werden müssen.
Insgesamt ist der White-Box-Ansatz immer zu empfehlen, da ausgewählte Teile des Prüfobjekts schnell analysiert und getestet werden können. Darüber hinaus können auch interne Komponenten getestet werden, die für die Sicherheit des Gesamtsystems kritisch sein können.
Medium CVE-2022-46165: XSS in Syncthing webUI
Syncthing is a free continuous file synchronization application. It synchronizes files between one or more peers on all major operating systems. Syncthing (prior version 1.23.5) provides a local administration panel that is served via a built-in web service that is subject to a cross-site scripting (XSS) vulnerability.
#Writeup #CVE #Syncthing #XSS #Cross-Site Scripting #Pentest #CVE-2022-46165 #Security Audit
Die Bedeutung von externen Penetrationstests und wie diese die Cybersicherheit verbessern können
Ein externer Penetrationstest ist eine Sicherheitsüberprüfung, bei der ein externer Angriff auf die Infrastruktur eines Unternehmens simuliert wird. Er ist ein wichtiger Bestandteil einer soliden Cybersicherheitsstrategie. Ziel ist es, Anfälligkeiten und Schwachstellen in den bestehenden Verteidigungsmaßnahmen zu ermitteln.
#Pentest #Services #Hardening #Infrastructure #Passwords #Credentials #Multi Factor Authentication #Best Practices #Patch #https #Encryption
Multi-Faktor-Authentifizierung: Warum Sie es verwenden sollten
MFA (Multi-Faktor-Authentifizierung) ist eine Sicherheitsmaßnahme, bei der die Benutzer mehr als nur eine Form der Authentifizierung anwenden müssen, um auf ihre Konten zuzugreifen. Dies gilt für Geräte, lokale Anwendungen und Webdienste.
#2FA #Hardening #Passwords #Credentials #Multi-Factor Authentication #Best Practices #FIDO2 #U2F