Automatisierung vs. manuelles Testing.
Wo Automatisierung sich rentiert, wo sie konstruktionsbedingt vorbeischaut und an welchen Nähten ein menschlicher Reviewer übernehmen muss — gegenübergestellt mit den manuellen Techniken, die sich Tooling entziehen.
Wo Automatisierung sich rentiert
- Directory- + Parameter-Fuzzing.
ffufgegen eine qualitative Wordlist deckt 80% der vergessenen Endpunkte in Minuten auf. Menschen schaffen das volumetrisch nicht. - Reflected XSS in klar tainted Params.
Dalfoxoder Burp Active Scan findet die offensichtlichen Sinks. Tag-und-Attribut-Reflektionsmuster sind gut abgedeckt. - Klassische SQLi in URL-/POST-Params.
sqlmapgegen einen Parameter, den der Entwickler nicht korrekt gebunden hat. Time-Based und Union-Based beide gut behandelt. - Bekannte-CVE-Checks.
nucleigegen einen fingerprinteten Stack. Templates codieren die exakte Request-Form; minimale Tester-Zeit pro Befund. - Response-Shape-Diffing. 50 Payloads senden, Response-Größen/-Codes/-Headers vergleichen, nach Abweichung sortieren. Deckt Inkonsistenzen auf, die ein menschliches Auge verpasst.
- TLS-Posture-Checks.
testssl.sh,sslyze. Mechanisch und vollständig.
Wo Automatisierung stumm bleibt
- Business Logic. Der Angriff ist eine legitime Sequenz legitimer Aufrufe — Rabatt-Stacking, Race-Condition-Double-Spend, mehrstufige Autorisierungschecks. Kein Fuzzer rekonstruiert Intention.
- Autorisierung über Seiten und Rollen. User A erstellt Ressource, User B holt sie via geratener ID. Scanner läuft nur als User A und sieht die Lücke nie.
- Stored XSS wo Source und Sink entkoppelt sind. Angreifer submitted Form A, Payload rendert im Admin-Dashboard B. Dynamic-Scanner überquert die Oberflächengrenze nie.
- Authentifizierungs-State-Kopplung. Action erfordert State X, gesetzt durch vorherige Action Y. Scanner replayed isoliert und kriegt 400 statt verwundbaren Pfad.
- Logik-basierte IDOR. ID ist UUID, nicht enumerierbar. Manuelle Analyse nötig, um zu erkennen, dass die UUID in der Response eines Schwester-Endpunkts exponiert ist.
- Auth-Bypass via Parser-Confusion. Trailing Newline, Unicode-Normalisierung, JSON-Parsing-Unterschiede zwischen Auth- und App-Layer. Erfordert hypothesengetriebenes Testen.
Allokations-Regel
- Tag 1. Alle Automatisierung parallel laufen lassen, während die App manuell durchgegangen wird. Beide Inputs füttern Tag 2.
- Tag 2–N. Manuelles Testen auf den Oberflächen, die Automatisierung nicht erreicht. Automatisierungs-Output als Triage-Karte nutzen, nicht als Befunde.
- Letzter Tag. Automatisierung gegen jede Änderung, die das Team während des Testens gemacht hat, neu laufen. Bestätigt Regressionen in Echtzeit, vor dem Report.
FaustregelWenn 80% der Befunde im Report aus Scanner-Output stammen, hat das Engagement unterdelivert. Der einzigartige Wert eines menschlichen Testers sind genau die Befunde, die Automatisierung nicht erreicht. Entsprechend abrechnen.
Verwandte Notizen in dieser Domain
- Featured Umfassende Pentest-Referenz
- Featured Pentest-Methodik — kanonische Referenz
- Featured Advanced Pentest & Red Team
- Featured Recon & Discovery
- Featured Web Server — Angriff & Verteidigung
- Featured Active Directory Pentest
- Featured Internal Pivoting & Lateral Movement
- Referenz Recon-Tooling — Operator-Referenz
- Referenz Operator-Toolkits — Katalog & Referenz
- Background Social Engineering & Phishing
- Background Pentester-Grundlagen & CTF-Praxis
Von der Referenz zum Befund