Pentest-Methodik — kanonische Referenz.
PTES, handwerkliche Notizen zur Engagement-Sequenz und die Web-App-Methodik-Varianten — konsolidiert in einer navigierbaren Referenz.
PTES — die sieben Phasen
- Pre-Engagement. Scope, Rules of Engagement, Blackout-Fenster, Kommunikationskanal, Deconfliction-Prozess, In-Scope- und Out-of-Scope-Assets schriftlich.
- Intelligence Gathering. Erst passives OSINT, dann aktive Recon. Übergabe an Vulnerability Analysis erst, wenn die Angriffsfläche gemapped ist.
- Threat Modeling. Identifiziere die Assets, die für den Kunden zählen, und die Adversary-Typen, die sie angreifen. Lehne Scope-Items ab, die keinen Unterschied machen.
- Vulnerability Analysis. Mappe identifizierte Oberfläche auf bekannte Klassen. Triagiere nach Impact × Ausnutzbarkeit, nicht nach Scanner-Severity.
- Exploitation. Validiere Befunde mit dem minimalen Impact-Nachweis, der das Kunden-Review übersteht. Keine Kundendaten über die vereinbarten Grenzen hinaus exfiltriert.
- Post-Exploitation. Persistenz (falls scoped), Lateral Movement, Data Discovery. Dokumentiere jeden Schritt in Echtzeit — am Freitag erinnerst du dich nicht mehr.
- Reporting. Executive Summary zuerst, technische Details zweitens, Reproduktions-Schritte drittens. Remediation-Guidance pro Befund, kein generischer Anhang.
Engagement-Archetyp → Methodenform
- External Black-Box. Schwergewicht auf Recon und OSINT. 30–40% des Budgets dort verbringen. Mit Detektion rechnen.
- Internal Assumed-Breach. Recon überspringen, mit Credential-Plumbing und AD-Enumeration starten.
BloodHoundan Tag eins. - Web-App Grey-Box. Jede authentifizierte Rolle End-to-End durchgehen, bevor auf Vulns gefuzzt wird. Business Logic ist die Klasse mit dem höchsten Wert.
- Red Team / objektivbasiert. Detektionsbudget vorab definieren. Jede Tool-Wahl tauscht Stealth gegen Zeit. Deconfliction-Call-Template muss vor Kickoff stehen.
Tagesrhythmus eines erfahrenen Testers
- Morgens. Notizen von gestern nochmal lesen. Den vielversprechendsten Thread wählen und zwei Stunden ohne Kontextwechsel verfolgen.
- Mittags. Den laufenden Findings-Log aktualisieren. Ein Befund ohne Screenshot ist ein Befund, der bestritten wird.
- Nachmittags. Tooling, Automatisierung, breite Scans, die Wall-Clock-Zeit brauchen. Ergebnisse beim Eintreffen triagieren.
- Tagesende. Fünf-Zeilen-Status in den Engagement-Channel: was gemacht, was gefunden, was blockiert, was als nächstes, wann nächster Status.
FaustregelWenn die Methodik eine Sache sagt und das Ziel etwas anderes, gewinnt das Ziel. Plan zerreißen, neu schreiben. Die Methodik ist eine Startposition, kein Vertrag.
Verwandte Notizen in dieser Domain
- Featured Umfassende Pentest-Referenz
- Featured Advanced Pentest & Red Team
- Featured Recon & Discovery
- Featured Web Server — Angriff & Verteidigung
- Featured Active Directory Pentest
- Featured Internal Pivoting & Lateral Movement
- Referenz Recon-Tooling — Operator-Referenz
- Referenz Operator-Toolkits — Katalog & Referenz
- Referenz Automatisierung vs. manuelles Testing
- Background Social Engineering & Phishing
- Background Pentester-Grundlagen & CTF-Praxis
Von der Referenz zum Befund