Die Methoden und Techniken für Sicherheitstests

Sicherheitstests können auf viele Arten durchgeführt werden,

oBlack Box Level
oWhite Box Level
oDatabase Level

Blackbox-Ebene

oSession Hijacking

Session Hijacking wird auch als "IP Spoofing" bezeichnet, bei dem eine Benutzersitzung in einem geschützten Netzwerk angegriffen wird.

oSession Prediction

Session Prediction ist eine Methode, um Daten oder eine Session ID eines autorisierten Nutzers zu erhalten und Zugang zur Anwendung zu bekommen. In einer Webanwendung kann die Sitzungs-ID von Cookies oder der URL abgefragt werden.

Das Session Prediction Happening kann vorhergesagt werden, wenn eine Website nicht normal reagiert oder aus einem unbekannten Grund aufhört zu reagieren.

oEmail Spoofing

Beim E-Mail-Spoofing wird die Kopfzeile der E-Mail ("Von"-Adresse) so dupliziert, dass es so aussieht, als stamme die E-Mail von der tatsächlichen Quelle. Durch das Einfügen von Befehlen in die Kopfzeile können die Nachrichteninformationen verändert werden. Es ist möglich, eine gefälschte E-Mail mit Informationen zu versenden, die du nicht geschrieben hast.

oContent Spoofing

Content Spoofing ist eine Technik, bei der eine gefälschte Website entwickelt wird, die den Nutzer glauben lässt, dass die Informationen und die Website echt sind. Wenn der Nutzer seine Kreditkartennummer, sein Passwort, seine Sozialversicherungsnummer und andere wichtige Daten eingibt, kann der Hacker die Daten auslesen und für Betrugszwecke verwenden.

oPhishing

Phishing ähnelt dem E-Mail-Spoofing, bei dem der Hacker eine echt aussehende E-Mail verschickt und versucht, an die persönlichen und finanziellen Daten des Nutzers zu gelangen. Die E-Mails scheinen von bekannten Websites zu stammen.

oPasswort-Knacken

Password Cracking wird verwendet, um ein unbekanntes Passwort zu identifizieren oder ein vergessenes Passwort zu ermitteln

Das Knacken von Passwörtern kann auf zwei Arten erfolgen,

1. Brute Force - Der Hacker versucht es mit einer Kombination von Zeichen innerhalb einer bestimmten Länge und versucht es so lange, bis sie akzeptiert wird.
2. Passwort-Wörterbuch - Der Hacker benutzt das Passwort-Wörterbuch, in dem es zu verschiedenen Themen verfügbar ist.

White Box Level

oBösartige Code-Injektion

SQL Injection ist die beliebteste Form des Code Injection Angriffs. Der Hacker fügt den bösartigen Code in den guten Code ein, indem er ein Feld in die Anwendung einfügt. Das Motiv hinter der Injektion ist es, die gesicherten Informationen zu stehlen, die für eine Reihe von Nutzern bestimmt sind.

Neben der SQL Injection gibt es noch weitere Arten von Malicious Code Injection: XPath Injection, LDAP Injection und Command Execution Injection. Ähnlich wie bei der SQL Injection geht es bei der XPath Injection um XML-Dokumente.

oPenetrationstests

Penetrationstests werden eingesetzt, um die Sicherheit eines Computers oder eines Netzwerks zu überprüfen. Bei dem Testverfahren werden alle Sicherheitsaspekte des Systems untersucht und es wird versucht, in das System einzudringen.

oEingangsvalidierung

Die Validierung von Eingaben dient dem Schutz der Anwendungen vor Hackern. Wenn die Eingaben in Webanwendungen nicht validiert werden, kann dies zu Systemabstürzen, Datenbankmanipulationen und Korruption führen.

oVariablenmanipulation

Die Variablenmanipulation ist eine Methode, um die Variablen in einem Programm festzulegen oder zu bearbeiten. Sie wird meist verwendet, um die an den Webserver gesendeten Daten zu ändern.

Datenbank-Ebene

oSQL Injection

SQL Injection wird verwendet, um Websites zu hacken, indem die SQL-Anweisungen im Backend geändert werden. Mit dieser Technik kann der Hacker die Daten aus der Datenbank stehlen und sie auch löschen und verändern.

Quelle: Die Methoden und Techniken für Sicherheitstests von Jerry Ruban