hacking for money - penetration testing · ¨ubersicht was ist ein pentest? motivation pentesting...
TRANSCRIPT
![Page 1: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/1.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Hacking for Money - Penetration Testing
Elmar Hoffmann - RedTeam [email protected]://www.redteam-pentesting.de/
9. Dezember 2005
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 2: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/2.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Was ist ein Pentest?
Motivation
Pentesting im Detail
Techniken der Pentester
Ubliche Fehler
Resultate eines Pentests
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 3: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/3.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Was ist ein Pentest?
I Simulierter Angriff auf ein Netzwerk
I Fragestellung: Wie weit kann ein Angreifer durchdringen?
I Gleiche Methoden wie”die Bosen“
I Nichts kaputt machen
I Vertraulichkeit
I Es wird ein Bericht erstellt
I Besonderheiten bei RedTeam: Kein Test nach Norm
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 4: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/4.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Was ist ein Pentest?
I Simulierter Angriff auf ein Netzwerk
I Fragestellung: Wie weit kann ein Angreifer durchdringen?
I Gleiche Methoden wie”die Bosen“
I Nichts kaputt machen
I Vertraulichkeit
I Es wird ein Bericht erstellt
I Besonderheiten bei RedTeam: Kein Test nach Norm
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 5: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/5.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Was ist ein Pentest?
I Simulierter Angriff auf ein Netzwerk
I Fragestellung: Wie weit kann ein Angreifer durchdringen?
I Gleiche Methoden wie”die Bosen“
I Nichts kaputt machen
I Vertraulichkeit
I Es wird ein Bericht erstellt
I Besonderheiten bei RedTeam: Kein Test nach Norm
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 6: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/6.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Was ist ein Pentest?
I Simulierter Angriff auf ein Netzwerk
I Fragestellung: Wie weit kann ein Angreifer durchdringen?
I Gleiche Methoden wie”die Bosen“
I Nichts kaputt machen
I Vertraulichkeit
I Es wird ein Bericht erstellt
I Besonderheiten bei RedTeam: Kein Test nach Norm
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 7: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/7.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Was ist ein Pentest?
I Simulierter Angriff auf ein Netzwerk
I Fragestellung: Wie weit kann ein Angreifer durchdringen?
I Gleiche Methoden wie”die Bosen“
I Nichts kaputt machen
I Vertraulichkeit
I Es wird ein Bericht erstellt
I Besonderheiten bei RedTeam: Kein Test nach Norm
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 8: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/8.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Was bringt ein Pentest?
I Wie sicher sind wir wirklich?I
”Betriebsblindheit“
I Angst vor IndustriespionageI Kontrollsystem vom Gesetz vorgeschrieben
I Werbung, Imagegewinn
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 9: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/9.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Was bringt ein Pentest?
I Wie sicher sind wir wirklich?I
”Betriebsblindheit“
I Angst vor IndustriespionageI Kontrollsystem vom Gesetz vorgeschrieben
I Werbung, Imagegewinn
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 10: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/10.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Arten von Pentests:
I Black- und Whitebox
I WLAN
I Physikalische Sicherheit
I Phishing/Malware
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 11: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/11.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Arten von Pentests:
I Black- und Whitebox
I WLAN
I Physikalische Sicherheit
I Phishing/Malware
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 12: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/12.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Arten von Pentests:
I Black- und Whitebox
I WLAN
I Physikalische Sicherheit
I Phishing/Malware
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 13: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/13.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Arten von Pentests:
I Black- und Whitebox
I WLAN
I Physikalische Sicherheit
I Phishing/Malware
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 14: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/14.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Aufklarung (Reconnaissance)
I Homepages
I Google
I DNS
I Whois
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 15: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/15.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Aufklarung (Reconnaissance)
I Homepages
I Google
I DNS
I Whois
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 16: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/16.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Aufklarung (Reconnaissance)
I Homepages
I Google
I DNS
I Whois
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 17: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/17.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Aufklarung (Reconnaissance)
I Homepages
I Google
I DNS
I Whois
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 18: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/18.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Enumeration: Finden von Angriffsvektoren
I Port scanningI (Verwundbare) Versionen von Diensten/Systemen feststellen
I Nach bekannten Lucken suchen
I Konfigurationsfehler
I Installierte Software auf neue Fehler untersuchen.
I Sonstige kreative Ideen
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 19: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/19.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Enumeration: Finden von Angriffsvektoren
I Port scanningI (Verwundbare) Versionen von Diensten/Systemen feststellen
I Nach bekannten Lucken suchen
I Konfigurationsfehler
I Installierte Software auf neue Fehler untersuchen.
I Sonstige kreative Ideen
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 20: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/20.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Enumeration: Finden von Angriffsvektoren
I Port scanningI (Verwundbare) Versionen von Diensten/Systemen feststellen
I Nach bekannten Lucken suchen
I Konfigurationsfehler
I Installierte Software auf neue Fehler untersuchen.
I Sonstige kreative Ideen
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 21: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/21.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Enumeration: Finden von Angriffsvektoren
I Port scanningI (Verwundbare) Versionen von Diensten/Systemen feststellen
I Nach bekannten Lucken suchen
I Konfigurationsfehler
I Installierte Software auf neue Fehler untersuchen.
I Sonstige kreative Ideen
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 22: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/22.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Enumeration: Finden von Angriffsvektoren
I Port scanningI (Verwundbare) Versionen von Diensten/Systemen feststellen
I Nach bekannten Lucken suchen
I Konfigurationsfehler
I Installierte Software auf neue Fehler untersuchen.
I Sonstige kreative Ideen
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 23: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/23.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Exploitation
Ausnutzen von Sicherheitslucken:
I Verifizieren: Haben wir wirklich eine Lucke?
I Was konnen wir durch Ausnutzen der Lucke erreichen?
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 24: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/24.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Exploitation
Ausnutzen von Sicherheitslucken:
I Verifizieren: Haben wir wirklich eine Lucke?
I Was konnen wir durch Ausnutzen der Lucke erreichen?
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 25: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/25.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Joker
Was sind Joker, wofur braucht man die?
I Software konnte in Zukunft verwundbar sein
I Ein Angreifer konnte einen eigenen Exploit entwickeln
I Zeit/Geld sparen
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 26: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/26.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Joker
Was sind Joker, wofur braucht man die?
I Software konnte in Zukunft verwundbar sein
I Ein Angreifer konnte einen eigenen Exploit entwickeln
I Zeit/Geld sparen
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 27: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/27.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Joker
Was sind Joker, wofur braucht man die?
I Software konnte in Zukunft verwundbar sein
I Ein Angreifer konnte einen eigenen Exploit entwickeln
I Zeit/Geld sparen
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 28: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/28.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Die ublichen Verdachtigen Teil 1
I Veraltete SoftwareI insbesondere Software, die nicht im Online Update des
Systems ist.I auf Hardware, die nicht geupdated wird
I Schwache PassworterI Schwache Konfiguration
I Admins wird oft nicht genug Zeit gelassen um alles vernunftigzu sichern
I Nur an den Außenrandern des Netzes Firewalls, IDS, etc.
I Zuviele Dienste auf einem Server
I Unnotige Dienste offen
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 29: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/29.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Die ublichen Verdachtigen Teil 1
I Veraltete SoftwareI insbesondere Software, die nicht im Online Update des
Systems ist.I auf Hardware, die nicht geupdated wird
I Schwache PassworterI Schwache Konfiguration
I Admins wird oft nicht genug Zeit gelassen um alles vernunftigzu sichern
I Nur an den Außenrandern des Netzes Firewalls, IDS, etc.
I Zuviele Dienste auf einem Server
I Unnotige Dienste offen
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 30: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/30.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Die ublichen Verdachtigen Teil 1
I Veraltete SoftwareI insbesondere Software, die nicht im Online Update des
Systems ist.I auf Hardware, die nicht geupdated wird
I Schwache PassworterI Schwache Konfiguration
I Admins wird oft nicht genug Zeit gelassen um alles vernunftigzu sichern
I Nur an den Außenrandern des Netzes Firewalls, IDS, etc.
I Zuviele Dienste auf einem Server
I Unnotige Dienste offen
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 31: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/31.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Die ublichen Verdachtigen Teil 1
I Veraltete SoftwareI insbesondere Software, die nicht im Online Update des
Systems ist.I auf Hardware, die nicht geupdated wird
I Schwache PassworterI Schwache Konfiguration
I Admins wird oft nicht genug Zeit gelassen um alles vernunftigzu sichern
I Nur an den Außenrandern des Netzes Firewalls, IDS, etc.
I Zuviele Dienste auf einem Server
I Unnotige Dienste offen
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 32: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/32.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Die ublichen Verdachtigen Teil 1
I Veraltete SoftwareI insbesondere Software, die nicht im Online Update des
Systems ist.I auf Hardware, die nicht geupdated wird
I Schwache PassworterI Schwache Konfiguration
I Admins wird oft nicht genug Zeit gelassen um alles vernunftigzu sichern
I Nur an den Außenrandern des Netzes Firewalls, IDS, etc.
I Zuviele Dienste auf einem Server
I Unnotige Dienste offen
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 33: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/33.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Die ublichen Verdachtigen Teil 1
I Veraltete SoftwareI insbesondere Software, die nicht im Online Update des
Systems ist.I auf Hardware, die nicht geupdated wird
I Schwache PassworterI Schwache Konfiguration
I Admins wird oft nicht genug Zeit gelassen um alles vernunftigzu sichern
I Nur an den Außenrandern des Netzes Firewalls, IDS, etc.
I Zuviele Dienste auf einem Server
I Unnotige Dienste offen
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 34: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/34.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Die ublichen Verdachtigen Teil 2
I Windowsfreigaben im internen Netzwerk fur alle les- undschreibbar
I Bsp.: Userprofiles, man kann Sachen in den Autostart Ordnerlegen.
I Unsicheres WLAN (gerne auch direkt im Firmennetz)
I Backups fur alle lesbar
I Incident Response nicht vorhanden
I Schlechte physikalische Sicherheit
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 35: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/35.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Die ublichen Verdachtigen Teil 2
I Windowsfreigaben im internen Netzwerk fur alle les- undschreibbar
I Bsp.: Userprofiles, man kann Sachen in den Autostart Ordnerlegen.
I Unsicheres WLAN (gerne auch direkt im Firmennetz)
I Backups fur alle lesbar
I Incident Response nicht vorhanden
I Schlechte physikalische Sicherheit
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 36: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/36.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Die ublichen Verdachtigen Teil 2
I Windowsfreigaben im internen Netzwerk fur alle les- undschreibbar
I Bsp.: Userprofiles, man kann Sachen in den Autostart Ordnerlegen.
I Unsicheres WLAN (gerne auch direkt im Firmennetz)
I Backups fur alle lesbar
I Incident Response nicht vorhanden
I Schlechte physikalische Sicherheit
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 37: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/37.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Die ublichen Verdachtigen Teil 2
I Windowsfreigaben im internen Netzwerk fur alle les- undschreibbar
I Bsp.: Userprofiles, man kann Sachen in den Autostart Ordnerlegen.
I Unsicheres WLAN (gerne auch direkt im Firmennetz)
I Backups fur alle lesbar
I Incident Response nicht vorhanden
I Schlechte physikalische Sicherheit
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 38: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/38.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Die ublichen Verdachtigen Teil 2
I Windowsfreigaben im internen Netzwerk fur alle les- undschreibbar
I Bsp.: Userprofiles, man kann Sachen in den Autostart Ordnerlegen.
I Unsicheres WLAN (gerne auch direkt im Firmennetz)
I Backups fur alle lesbar
I Incident Response nicht vorhanden
I Schlechte physikalische Sicherheit
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 39: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/39.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Resultate: Was bringt ein Pentest?
I Zeigt nur punktuelle Schwachstellen
I Was steht im Bericht?
I Wie nutzt man die Ergebnisse des Pentests?
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 40: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/40.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Resultate: Was bringt ein Pentest?
I Zeigt nur punktuelle Schwachstellen
I Was steht im Bericht?
I Wie nutzt man die Ergebnisse des Pentests?
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 41: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/41.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Resultate: Was bringt ein Pentest?
I Zeigt nur punktuelle Schwachstellen
I Was steht im Bericht?
I Wie nutzt man die Ergebnisse des Pentests?
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing
![Page 42: Hacking for Money - Penetration Testing · ¨Ubersicht Was ist ein Pentest? Motivation Pentesting im Detail Techniken der Pentester ¨Ubliche Fehler Resultate eines Pentests Hacking](https://reader031.vdocuments.site/reader031/viewer/2022022606/5b7d7a7c7f8b9ada6d8c5a9a/html5/thumbnails/42.jpg)
UbersichtWas ist ein Pentest?
MotivationPentesting im Detail
Techniken der PentesterUbliche Fehler
Resultate eines Pentests
Fragen?
Elmar Hoffmann - RedTeam Pentesting Hacking for Money - Penetration Testing