Information Technology Reference
In-Depth Information
Behörde vorliegen. Das ist aus Sicht eines Administrators einigermaßen unfair,
weil ein echter Angreifer diese Informationen nicht hätte. Aus einem rein
technischen Blickwinkel sind White-Box Tests natürlich sinnvoller, weil sie mit
einiger Wahrscheinlichkeit mehr Schwachstellen aufdecken. Betrachtet man die
Sache jedoch durch die Brille der Administratoren, deren Systeme während des
Tests „auf Links“ gedreht werden, erkennt man leicht das Konfliktpotential.
Art des Tests
Black-Box
White-Box
Philosophie
Überprüfen eines Systems
gegen die Anforderungen aus
den Sicherheitskonzepten.
Nur das Außenverhalten des
zu testenden Systems wird
herangezogen und bewertet.
Test aus der unwissenden
Angreifer-Perspektive.
Überprüfen eines Systems auf
Grundlage von Kenntnissen
über die innere Funktion.
Auch das „verborgene“
Innenverhalten wird
herangezogen und bewertet.
Test aus der Angreifer-
Perspektive mit Insider-
Wissen.
Vorteile
Bessere Beurteilung des
Gesamtsystems bei realen
Angriff-Szenarien möglich.
Beurteilung der zu Grunde
gelegten Konzepte möglich.
Mit geringerem
organisatorischen Aufwand
verbunden.
Schnellere, detailliertere
Ergebnisse.
Nachteile
Größerer organisatorischer
Aufwand.
Interne Fehler können leicht
übersehen werden, wenn noch
keine Angriffsvarianten dazu
bekannt sind.
Erfüllung der Anforderungen
aus den Sicherheitskonzepten
muss zusätzlich überprüft
werden.
Kann als „unfair“ empfunden
werden.
Tabelle 3-5:
Gegenüberstellung Black-Box und White-Box Test
In der Summe gibt es bei Pen-Tests also einiges, was man falsch machen kann.
Daher sollen die bisher gemachten Überlegungen mit einem Fallbeispiel aus der
ExAmple AG erläutert werden.
Search WWH ::




Custom Search