Technische Scan Details

Technische Scan Details

Marc Ruef
von Marc Ruef
Lesezeit: 4 Minuten

Im Rahmen von technischen Sicherheitsüberprüfungen sind Analysten immer wieder vor Herausforderungen gestellt. Eine dieser ist es, eine möglichst umfassende Dokumentation der Vorgänge vorzulegen. Damit soll eine transparente Nachvollziehbarkeit erreicht werden, die sowohl dem Analysten selbst als auch dem Kunden weiterhelfen können soll. Bei Problemen und Unklarheiten kann sich nämlich direkt auf die konkreten Daten bezogen werden, wodurch Vermutungen eliminiert werden können.

Nachfolgend soll aufgegliedert werden, für welchen Prozess wir uns bei technischen Sicherheitsüberprüfungen entschieden haben.

Anfrage

Zu Beginn einer aktiven technischen Prüfung steht die Anfrage. Das ist jene Anfrage, die vom Quellsystem des Analysten zum Zielsystem des Kunden geschickt werden soll. Dies kann zum Beispiel der Zugriff von einem Webbrowser auf einen Webserver sein. Die effektive HTTP-Anfrage dieses Zugriffs wird festgehalten:

GET ../../etc/passwd HTTP/1.1
Host: www.scip.ch
User-Agent: scip Web Exploit Framework/3.2

Erwartete Antwort

Eine Prüfung kann nur dann stattfinden, wenn das gegebene Resultat mit einem erwarteten Resultat verglichen werden kann. Jeder Test muss also ein definiertes erwartetes Resultat aufweisen. Im Fall der gezeigten Prüfung wird eine 404 Not Found Meldung erwartet, um diesen Angriffsvektor ausschliessen zu können. Diese Antwort sieht in ihren Grundzügen so aus:

HTTP/1.1 404 Not Found
Date: Mon, 5 Apr 2010 09:40:55 GMT
Server: Apache
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 2270
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html

Empfangene Antwort

Im Gegensatz zur erwarteten Antwort wird nun jedoch die effektiv vom Zielsystem provozierte und damit empfangene Antwort dokumentiert. Diese kann entweder von der erwarteten Antwort abweichen oder im weitesten Sinn dieser entsprechen:

HTTP/1.1 200 Found
Date: Mon, 5 Apr 2010 09:59:10 GMT
Server: Apache
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 2348
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/plain

Zusätzliche Details

Die zentralen Eigenschaften des Tests mögen zwar damit weitestgehend dokumentiert sein, jedoch können diese noch mit zusätzlichen Details aufgewertet werden. Dies können Zeitangaben (Start und Ende des Tests sowie durchschnittliche Antwortzeit des Servers) oder technische Details aus anderen Analysen (z.B. Anzahl Hops bis zum Zielsystem) sein.

Über den Autor

Marc Ruef

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Hochschulen, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

×
Cyber Threat Intelligence

Cyber Threat Intelligence

Marc Ruef

3D Printing

3D Printing

Marc Ruef

Contact Tracing App DP3T

Contact Tracing App DP3T

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv