Penetrationtests
Tools und Software (Freeware,Shareware, kommerzielle Software) zur Abbildung eines Penetrationtests
Hallo Zusammen,
was habt ihr für Erfahrungen mit Penetrationtests, was gibt es für Tools um solche durchzuführen und wie gut sind die Ergebnisse daraus?
Vorab schonmal vielen Dank für eure Beiträge.
Gruß
Hallo Zusammen,
was habt ihr für Erfahrungen mit Penetrationtests, was gibt es für Tools um solche durchzuführen und wie gut sind die Ergebnisse daraus?
Vorab schonmal vielen Dank für eure Beiträge.
Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 92785
Url: https://administrator.de/forum/penetrationtests-92785.html
Ausgedruckt am: 22.12.2024 um 22:12 Uhr
7 Kommentare
Neuester Kommentar
Ein Pentest ist nur so gut, wie derjenige, der ihn durchführt. Wenn du nichtmal weisst welche Tools du für welche Tests verwenden sollst, reicht dein Wissen definitiv nicht aus um einen ernstzunehmenden Pentest zu machen. Ich würde dir daher auch raten dich an ein externes Unternehmen zu wenden, das sich darauf spezialisiert hat und entsprechende Kenntnisse mitbringt. Nur mal durch ein paar Tools klicken reicht jedenfalls nicht aus. Bevor man Pentests selbst macht, sollte man erstmal wissen welche Angriffsmöglichkeiten gibt es überhaupt, welche Angriffsszenarien sind in eurem Netzwerk denkbar, welche potentiellen Lücken sind vorhanden, wie kann man diese potentiellen Lücken ggf. nutzen usw. Zumeist kommt man da mit fertigen Programmen/Hackertools nicht weiter. Ein Pentester sollte daher auch in der Lage seine Exploits selbst zu schreiben, Angriffe auf bestimmte Applikationen (z.B. XSS, SQL-Injection usw. bei Webapplikationen) durchzuführen usw.
Du siehst... mit einer externen Firma, die sich damit auskennt, bist du mit Sicherheit besser beraten.
Für einen allgemeinen Scan auf potentielle Lücken kannst du dir aber mal Nessus bzw. seine Nachfolger anschauen. Zumindest die gröbsten Schnitzer kann man damit ausbügeln.
Du siehst... mit einer externen Firma, die sich damit auskennt, bist du mit Sicherheit besser beraten.
Für einen allgemeinen Scan auf potentielle Lücken kannst du dir aber mal Nessus bzw. seine Nachfolger anschauen. Zumindest die gröbsten Schnitzer kann man damit ausbügeln.
Man sollte aber evtl. das Knowhow seiner Firma nutzen, wenn es schon zur Verfügung steht. Mit Vertrauen zu den Fähigkeiten der Mitarbeiter scheint es da ja nicht gerade weit her zu sein. Naja... euer Problem.
Wie bereits gesagt sind Klicki-Bunti-Programme da nicht angebracht. Ernsthafte Angriffe werden nur selten mit fertigen Programmen gemacht und entsprechend sollte das auch beim Pentesting gemacht werden. Ansonsten habe ich dir einen der bekanntesten Security-Scanner bereits genannt. Wenn dir das nicht reicht, suche dir im Netz halt Howtos zu Spoofing-Angriffen, verschiedene Möglichkeiten des Exploitings, (D)DoS-Angriffe, Injection-Angriffe alle Art usw. usf. damit du dir selbst mal vor Augen führen kannst wie Komplex das Thema Pentesting ist und dass ein "ich klicke mich mal durch diese Tools" da bei weitem nicht ausreicht. http://packetstormsecurity.org/ dürfte da die beste Anlaufstelle sein.
Wie bereits gesagt sind Klicki-Bunti-Programme da nicht angebracht. Ernsthafte Angriffe werden nur selten mit fertigen Programmen gemacht und entsprechend sollte das auch beim Pentesting gemacht werden. Ansonsten habe ich dir einen der bekanntesten Security-Scanner bereits genannt. Wenn dir das nicht reicht, suche dir im Netz halt Howtos zu Spoofing-Angriffen, verschiedene Möglichkeiten des Exploitings, (D)DoS-Angriffe, Injection-Angriffe alle Art usw. usf. damit du dir selbst mal vor Augen führen kannst wie Komplex das Thema Pentesting ist und dass ein "ich klicke mich mal durch diese Tools" da bei weitem nicht ausreicht. http://packetstormsecurity.org/ dürfte da die beste Anlaufstelle sein.