Gamisch, L. (2019):

Kategorisierung von Exploits zur Durchführung von nicht-intrusiven Penetrationstests

Penetrationtests, kurz Pentests, sind in der IT-Sicherheit ein Ÿbliches Mittel, um Schwachstellen vor ihrer Ausnutzung durch Hackerangriffe zu erkennen und anschlie§end zu beseitigen. Da durch einen solchen Pentest im schlechtesten Fall das eigene System beschŠdigt werden kann, sollte dieser mšglichst nicht auf einem Produktivsystem ausgefŸhrt werden. FŸr viele Organisationen gibt es jedoch nicht die Mšglichkeit, ein weiteres System fŸr einen Pentest aufzusetzen. Weil regelmŠ§ige Pentests zur †berprŸfung der eigenen IT-Sicherheit unerlŠsslich sind, muss in diesen FŠllen gewŠhrleistet werden, dass der durchzufŸhrende Pentest nicht-intrusiv ist und somit keine bleibenden SchŠden hinterlŠsst. In dieser Arbeit soll ermittelt werden, welche Exploits sich schŠdlich auf das System auswirken und welche sich fŸr ein nicht-intrusives Pentesting eignen. FŸr die Kategorisierung der Exploits soll ein Prozess entwickelt werden, mithilfe dessen die Kategorie des Exploits eindeutig bestimmt werden kann. Das Entscheidungsmodell, welches fŸr die Kategorisierung ausgearbeitet wurde, versucht die Exploits anhand ihrer Metadaten einer Kategorie zuzuordnen. In den meisten FŠllen muss zusŠtzlich eine manuelle †berprŸfung - die AusfŸhrung der Exploits auf einem geeigneten Testsystem - stattfinden, damit dem Exploit eine mšglichst zutreffende Kategorie zugewiesen werden kann. Alle Exploits, die im Rahmen dieser Bachelorarbeit durchgefŸhrt wurden, kŠmen fŸr einen nicht-intrusiven Pentest infrage. Ein nicht-intrusiver Pentest wŠre deswegen bei den Testsystemen, die in dieser Arbeit zum Einsatz kamen, genauso erfolgreich wie ein intrusiver Pentest.

• PDF Version (1,564.3 KB)