Please enable JavaScript.

Coggle requires JavaScript to display documents.

Pentests - Coggle Diagram

- - - - wirtschaftlich sinnvoll
      - speziell Webdienste
      - nicht das Validieren
        der Schwachstelle selbst
  - - - geht sinnvoll nur mit mehreren Credentials
    - - sehr hoher Aufwand!
    - - manuelle Eindringversuche
      - Scope Verdichtung
        
        Besprechungsnotiz: Targets und ggfls. Findings nennen und mit Kunden die wesentlichen Targets definieren. Was ist das Objekt der Begierde des Kunden?
  - - - Trotzdem auch ein Bericht mit Ergebnis und Version/Datum/etc,
- - - - Kickoff: 1h
      - Scan Einrichten + Starten: 2h
      - Nessus Report bewerten: 4h
      - Webdienste sichten: 2h
      - nicht anwendbar bei eSS:
        Scope Verdichtung /
        Kundenkommunikation 3h
      - manuelle Prüfungen + Ergänzung von Findings: 2-4h
      - Bericht erstellen mit
        Risiko & Empfehlungen: 12h
        
        CVSS nachrechnen
        
        neue Textbausteine erstellen
        
        Überführen von Ergebnissen auf Bericht
      - Prüfung gültiger Targets: 0,5h
      - Webdienste mit Burb prüfen: 2-3h
      - Auswerten von Burb: 3-4h
      - QS Bericht & Übermittlung: 2h
      - wollen wir einen eSS mit 2,5PT anbieten?
        (wenige Dienste, max. 6 IP Adressen)
        
        mit welchen EInschränkungen?
        
        vereinfachter Bericht
        z.B. TOP 10 Findings mit Empfehlungen + Nessus Scan Report
        
        ggfls. ohne Burb
        
        ggfls. reduzierte manuelle Prüfungen
        
        noch klarer, dass keine vollständige
        Prüfung durchgeführt wurde
      - bei größeren Projekten >4PT: OSINT mind. 4h + erhöhte Ergebnisaufbereitung
      - bei größeren Projekten >4PT: Shodan Recherche: mind.4h
- - - - Unterschied aktive/inaktive IP Adressen
      - A-typische Dienste