Das Penetration Testing Glossar
Hier findest du eine Vielzahl von Penetration Testing & IT-Security Begriffen und ihre Erklärung
Begriff |
Bedeutung |
---|---|
PTA (Permission to Attack) |
Rechtliche Rahmenvereinbarung, dass ein Penetration Test durchgeführt werden darf. Ohne PTA ist es eine Straftat einen Penetration Test durchzuführen. |
NDA (Non-Disclosure-Agreement) |
Die NDA ist eine Verschwiegenheitserklärung. Das bedeutet, dass sich beide Vetragspartner an die Geheimhaltung der Daten, Informationen und Ergbenisse um den Penetration Test halten müssen. |
Scope-Dokument |
Im Scope-Dokument werden alle Ziele und nicht-Ziele des Penetration Tests festgehalten. Es steckt so zusagen den Rahmen des Penetration Tests ab. |
White Hat Hacker |
Ein White Hat Hacker ist ein Hacker für die gute Sache. Er handelt rein aus Interesse daran, die IT-Sicherheit zu verbessern. |
Black Hat Hacker |
Ein Black Hat Hacker ist ein Hacker, der ausschließlich böse Absichten besitzt. Er handelt auf jegliche Art illegal und möchte Schaden verursachen. |
Grey/Gray Hat Hacker |
Ein Grey Hat Hacker ist ein White Hat Hacker, der dennoch böse Absichten hat. Meistens ist es ein Cyber-Security-Angestellter, der Nachts zum Black Hat mutiert. |
Social Engineering |
Hacking von Menschen über die soziale Ebene. Sehr oft werden Angriffe wie z.B. Phishing, Vhishing oder Pre-Texting verwendet um an Computer-Daten/sensible Daten über die menschliche Ebene zu kommen. |
Human Hacking |
Hacken von Menschen. Das kann bedeuten, dass ein Angreifer z.B. jemanden dazu bewegt, dass er sein Passwort ausplaudert, oder auf einer fälschlichen Seite eingibt. |
OSINT |
Open Source Intilligence. Informationen über Open Source Quellen über eine Organisation/Person beschaffen. |
SOCMINT |
Social Media Intelligence. Informationen über die Sozialen Medien über eine Person/Organisation beschaffen. |
GEOINT |
Geopspatial Intelligence. GEO-Informationen über eine Person/von einer Organisation beschaffen. |
HUMINT |
Human Intelligence. Informationen über eine Person/Organisation über andere Personen/über die menschliche Ebene beschaffen. |
Profiling |
Erstellen eines Profiles über eine Person. Sehr oft von staatlichen Einrichtungen genutzt. |
Password Profiling |
Erstellen von maßgeschneiderten Passwortlisten für eine Person/Organisation. |
Lockpicking |
Aufschließen von Schlössern mit speziellem Werkzeug (Picks und Spanner). |
Reverse Engineering |
Verstehen, wie eine Funktion/ein Programm/eine Tätigkeit funktioniert. Sehr oft im Bereich Software Penetration Testing im Einsatz. |
OWASP |
Open Web Application Security Project. Freie Organisation, die sich mit der Sicherheit von Software auseinandersetzt. |
Red Teaming |
Simulation von gezielten Angriffen auf ein Unternehmen. Meistens eine Kombination aus Penetration Tests und Social Engineering. |
Blue Teaming |
Ein Team, das intern im Unternehmen die IT-Sicherheit verbessert. Sehr oft arbeitet das Blue Team mit dem Red Team zusammen und formt somit das Purple Team. |
Yellow Teaming |
Ein Development Team intern in einer Firma, die sich der sicheren Entwicklung auseinandersetzt. Sehr oft wird mit dem Blue Team gemeinsam ein Green Team geformt. Ebenso gibt es das Orange Teaming, wo das Yellow Team mit dem Red Team fusioniert wird. |
OSCP (Offensive Security Certified Professional) |
Eine Zertifizierung für Penetration Testing von Offensive Security. Ideal für Leute, die Exploitation, Bufferoverflows und Identifikation von Schwachstellen in die Tiefe lernen wollen. |
OSWP (Offensive Security Wireless Professional) |
Eine Zertifizierung für WLAN Penetration Testing von Offensive Security. Ideal für Leute, die sich mit WLAN Penetration Testing tiefer auseinander setzen möchten. |
CEH (Certified Ethical Hacker) - EC Council |
Eine Zertifizierung von EC Council, die dich theoretisch Abbrüht, wie Penetration Tests, Angriffe und IT-Sicherheit in der Praxis ablaufen. |
eCPPT (eLearnSecurity Certified Professional Penetration Tester) |
Eine Zertifizierung von eLearnSecurity, die nach dem eJPT kommt und professionelles Penetration Testing in einem Real-Life-Szenario überprüft. |
eCPTX (eLearnSecurity Certified Penetration Tester eXtreme) |
Eine Zertifizierung von eLearnSecurity, die nach dem eCPPT kommt und elitäres Penetration Testing in einem Real-Life-Szenario überprüft. |
eCTHP (eLearnSecurity Certified Threat Hunting Professional) |
Eine Zertifizierung von eLearnSecurity, die für qualitatives Threat Hunting interessant ist. Diese Zertifizierung macht für Systemadministratoren mit IT-Security-Fokus Sinn. |
eCDFP (eLearnSecurity Certified Digital Forensics Professional) |
Eine Zertifizierung von eLearnSecurity, die für IT-Forensiker sehr interessant ist. Diese Zertifizierung simuliert einen Real-Life-Fall aus der Forensik. |
JWT - JSON Web Token |
JSON Web Token - Wird oft für Authentifizierung von Web Apps, mobile Apps, usw. gegen eine API benutzt. |
Advanced Mail Tests |
Die E-Mail-Infrastruktur wird auf die korrekte Einsetzung der Filter, wie Antispam, überprüft. |
Advanced Persistent Threat (APT) |
APT ist ein Cyber-Angriff, der Unternehmen und politische Ziele attackiert. |
Adware |
Eine Software, bei der neben der eigentlichen Funktion Werbung angezeigt wird. Somit wird die Software meist finanziert. |
Angriffsvektor |
Der Weg mit dem ein Angriff das Ziel erreicht. Beispiele dafür sind Buffer-Overflow-Attacken, Viren, etc. |
Anomalie |
Eine Anomalie ist etwas Unbekanntes im System, das sich mit den gerade zur Verfügung stehenden Mitteln nicht identifizieren lässt. |
Application Security Audit |
Eine Sicherheitsüberprüfung, die sehr gründlich ist und bei der sowohl die Outsider als auch Insider-Perspektive enthalten ist. |
Authentisierung |
Bei einer Authentisierung wird in einem Prozess die Identität einer Person bestätigt. |
Autorisierung |
Bei einer Autorisierung hat man die Erlaubnis, Ermächtigung oder Genehmigung etwas zu tun. |
Backdoor |
Teil einer Software, die es dem User erlaubt die normalen Zugriffssicherungen zu umgehen und dadurch Zugang auf Computer oder Programme zu bekommen. |
Bedrohung |
Eine Bedrohung ist eine mögliche Ursache, die dem System oder dem Unternehmen Schaden zufügen kann. Bedrohungen können zum Beispiel Datendiebstahl, Datenverlust oder ähnliches sein. |
Black Box (Testtyp) |
Bei einem Black Box Test erhalten Tester keine Informationen über die zu prüfenden Systeme, sondern starten genauso wie der Hacker bei Null. |
Black Hat (Testtyp) |
Bei einem Black Hat Test sollen die Reaktionen der IT-Mitarbeiter auf Security Vorfälle ermittelt werden. Dabei wissen die Mitarbeiter nichts von dem Test. |
Blind (Testtyp) |
Bei einem Blind Test haben die Tester keine Informationen über die zu prüfenden Systeme. Die Administratoren wurden über den anstehenden Test informiert. |
Brute-Force-Angriff |
Bei einem Brute-Force-Angriff werden alle möglichen Kombinationen an Zeichenfolgen als Passwort ausprobiert. Da dies sehr zeitaufwendig ist, gibt es die moderne Möglichkeit mit einer Dictionary Attack. |
BSI-Grundschutz |
Der IT-Grundschutz vom deutschen Bundesamt für Sicherheit in der Informationstechnik. Darin befindet sich eine Sammlung von Empfehlungen bezüglich der Informationssicherheit. |
Buffer Overflow (Pufferüberlauf) |
Ein Programm wird dazu gebracht mehr Daten als vorgesehen in einen Puffer im Hauptspeicher zu schreiben, um angrenzende Datenstrukturen zu überschreiben. Man löst dabei ungewollte Änderungen im Programmablauf bzw. im Speicherinhalt aus. |
Code Injection |
Bei einer Code Injection wird einer Anwendung ein Programm-Code übermittelt und dieser wird dann eingebettet und ausgeführt. |
Concern |
Ein Concern ist keine direkte Bedrohung, jedoch zeitgleich ein unnötiger Einsatz von Ressourcen. |
Configuration Review |
Überprüfung der Konfiguration mit dem Ziel mögliche Verbesserungen im Hardening zu erkennen bzw. Schwachstellen ausfindig zu machen. |
Cookie |
Ein Cookie ist eine Textdatei, die von einem Webserver auf einem lokalen Rechner abgelegt wird, um das Nutzerverhalten zu bestimmen und aufzuzeichnen. |
Crimeware |
Eine Crimeware ist eine Malware, mit der man finanziellen Gewinn erzielen möchte. |
CRLF Injection |
Bei einer CRLF Injection wird Schadcode in eine Applikation eingespielt. Es werden dabei zum Beispiel "Carriage Return" und "Line Feed" eingesetzt. |
Cross-Site Request Forgery (CSRF) |
Ein Angriff, bei der eine Webseite nur dürftig überprüft, ob eine Anfrage berechtigt ist. Wenn der Benutzer eine spezielle Webseite besucht, kann der Angreifer sich als Benutzer ausgeben und der Webseite Befehle übermitteln. |
Cross-Site Scripting (XSS) |
Eine Verwundbarkeit, bei der ein Angreifer Skripte in eine Webseite einbetten kann. Das Script unterscheidet sich nicht von vorhandenen Skripten und wird vom Browser gleichermaßen ausgeführt. |
Cyber Security |
Die Cyber Security beschäftigt sich mit Maßnahmen, die Informationssysteme vor unerlaubten Zugriffen und Schaden schützen sollen. |
Cyber War |
Ein Cyber War besteht aus Tätigkeiten, die von einem Staat/einer Organisation ausgeführt werden, um in einen anderen Staat/andere Organisation einzudringen. |
Denial-of-Service Attacke |
Ein Angriff, bei dem durch Überlastung der verfügbaren Kapazitäten, ein Computer oder eine Netzwerk-Ressource nicht verfügbar gemacht wird. |
Demilitarisierte Zone (DMZ) |
DMZ ist ein Netzwerk bestehend aus Computer, welches Dienste eines Unternehmens für ein anderes Netzwerk bereitstellt. Dabei haben die Computer meist Zugriff auf firmeninterne Ressourcen. Um diese Ressourcen zu schützen, werden die Computer mithilfe von Firewalls getrennt. |
Dictionary Attacke |
Eine Attacke bei der bestimmte Wörter aus einem Wörterbuch als Passwort überprüft werden. |
Document Object Model (DOM) |
DOM ermöglicht Zugriff auf ein Dokument und dessen Objekte. DOM ist eine Schnittstelle, die unabhängig von der Plattform ist. |
DOM-Based Cross-Site Scripting (DOM-Based XSS) |
Die DOM-Based XSS Schwachstelle gestattet das Einbinden von Code einer Webseite. Dabei wird ein Fehler im Script der Anwendung ausgenutzt. |
Double Blind (Testtyp) |
Bei einem Double Blind bekommen die Tester von vorneherein keine Informationen über die zu prüfenden Systeme und die Administratoren werden nicht über den Test informiert. Der Double Blind ist nicht sehr effizient, dafür aber realistisch. |
E-Mail Spoofing |
E-Mail-Spoofing ist das Erstellen und Versenden von E-Mails mit gefälschtem Absender. |
Enumeration |
Bei der Enumeration werden so viele Informationen wie möglich über das Zielsystem gesammelt. Mithilfe der Enumeration möchte man sich einen Überblick über das System schaffen, um den Angriff optimal ausführen zu können. |
Ethical Hacking |
Beim Ethical Hacking bekommt man einen spezifischen genau festgelegten Auftrag, wobei man organisatorische und technische Mängel aufdecken soll. Sobald eine Verwundbarkeit gefunden wurde, wird gestoppt. |
Exploit |
Ein Exploit ist eine Codesequenz, welche die Verwundbarkeit eines Programmes/einer Software ausnutzt und diese zu einer nicht korrekten Ausführung zwingt. Damit kann zum Beispiel die Software zum Absturz gebracht werden. |
Exposure (Informationsabfluss) |
Hierbei findet die Preisgabe von Informationen statt. Dabei können Angreifer wichtige Informationen und Hinweise über die interne Netzwerk-Struktur bekommen. |
Firewall Rule Set Audit |
Bei einem Firewall Rule Set Audit werden die aktiven und inaktiven Firewall-Regeln analysiert. Das Ziel dabei ist Schwachstellen aufzudecken und Optimierungen zu erkennen. |
Forensic Readiness |
Bei der Forensic Readiness handelt es sich um die technische und organisatorische Vorarbeit, die geleistet wird, um im Falle einer Untersuchung von Sicherheitsvorfällen bestens vorbereitet zu sein. |
Fraud Detection |
Das Ziel von Fraud Detection ist es Betrugsfälle zu identifizieren. Dies geschieht über ein internes Kontrollsystem, welches Risiken ermittelt. |
Grey Box (Testtyp) |
Bei diesem Test werden die Administratoren im Vorab über den Test informiert und die Tester bekommen teilweise Informationen über die Systeme. |
Hardening |
Bei System Hardening reduziert man die Angriffsfläche und erhöht gleichzeitig die Sicherheit im System. |
HTML (HyperText Markup Language) |
HTML ist eine Sprache, mit der man Webseiten erstellt. Das HTML-Dokument enthält Anweisungen für den Browser, damit dieser die Informationen wiedergeben kann. |
HTTP (HyperText Transfer Protocol) |
HTTP ist das zentrale Kommunikationsprotokoll im World Wide Web. Es ist ein Klartext-Protokoll und ein Modell bei dem der Client eine Anfrage an den Server schickt. Danach kommt eine Antwortnachricht zurück. |
HTTPS (HyperText Transfer Protocol Secure) |
HTTPS verwendet TLS, damit Authentisierungen stattfinden können und die übertragenden Daten vor Dritten geschützt werden. |
ICS (SCADA / DCS) Security Audit |
Bei einem ISC Security Audit gibt es eine Sicherheitsüberprüfung im ISC-Bereich. Diese Überprüfung ist unprivilegiert, privilegiert, technisch und/oder konzeptionell. ISC-Umgebungen findet man zum Beispiel in der Fertigung, im Energiesektor oder auf Flughäfen. |
Incident Response |
Mit Incident Response beschreibt man die Reaktion und das Verhalten einer Organisation auf einen vorangegangenen Vorfall. Die Reaktion kann zum Beispiel die Behebung des Schadens beinhalten. |
Informationssicherheit |
Die Informationssicherheit beschäftigt sich mit der Erhaltung von Verfügbarkeit, Vertraulichkeit, Nachweisbarkeit und Zuverlässigkeit von Informationen. Die Informationen gibt es in verschiedenen Formen, wie zum Beispiel elektronisch oder gedruckt. |
Informationssicherheitsleitlinie |
Die Informationssicherheitsleitlinie ist eine Security Policies und soll der Organisation angemessen sein. In der Leitlinie sollen zum Beispiel die Informationssicherheit beschrieben, Verantwortliche zugewiesen und Umgang mit Abweichungen bzw. Ausnahmen dargestellt werden. |
Integrität |
Die Eigenschaften von Informationswerten müssen sowohl richtig, als auch vollständig sein. Mithilfe der Datenintegrität möchte man eine Verstümmelung der Daten verhindern. |
ISMS (Information Security Management System) |
ISMS ist sozusagen ein Rahmenwerk, welches die erforderlichen Schritte aufzeigt, damit man die Ziele erreicht. Im Management System werden Verantwortlichkeiten, Verfahren, Prozesse und mehr beschrieben. |
ISO 27001 |
Die ISO 27001 legt die Anforderungen an ein ISMS dar. Man kann sich den Standard zertifizieren lassen. |
ISO 27002 Security Audit |
Die ISO 27002 Security Audit zählt zu den konzeptionellen Überprüfungen und dabei werden Fragebögen und Interviews ausgewertet. Am Ende sollte man eine Übersicht der Informationssicherheit einer Organisation haben. |
IT Security Roadmap |
Um beständig und nachhaltig die Sicherheit eines Unternehmens zu fördern, kann man eine IT Security Roadmap, also ein definierter Fahrplan mit zugehörigen IT Security-Aktivitäten, erstellen. |
IT-Forensik |
Unter IT-Forensik versteht man die Untersuchung und Wiederherstellung von Daten auf digitalen Geräten. Des Weiteren stellt man Beweise sicher, damit diese vor Gericht verwendet werden können. |
JavaScript |
JavaScript ist eine Programmiersprache, mit der man meistens Skripte für den Browser des Benutzers schreibt. Diese Scripte können Seiteninhalte verändern, generieren oder aber Interaktionsmöglichkeiten anbieten. |
Kick-Off-Meeting |
Das Kick-Off-Meeting ist wie der Name schon sagt eine Besprechung, die vor dem Start des IT-Projektes durchgeführt wird und Grundlagen abklärt. Es werden Aspekte, wie der Zeitplan oder der Projektumfang besprochen. |
Least Privilege Prinzip |
Beim Least Privilege Prinzip werden einer Entität nur die absolut notwendigen Rechte gegeben, damit sie ihre Aufgaben erledigen kann. |
Malware |
Malware kann zwei Bedeutungen haben. Einerseits ist es eine Software, die unerwünschte Aktionen auf der Seite des Benutzers ausführt. Andererseits kann man es als einen Sammelbegriff für Viren, Würmer, Spyware und Adware ansehen. |
Mobile App Penetration Test |
Ein Mobil App Penetration Test sucht nach Sicherheitslücken in Betriebssystem, Basisdiensten und Applikationen auf Mobilgeräten. |
Nachweisbarkeit (Non-Repudiation) |
Fertigkeit, das Erscheinen einer Aktion und dessen Ursprung beweisen zu können. |
Network Design Review |
Bei einem Network Design Review ist das Ziel designbasierte Schwachstellen ausfindig zu machen. Dazu überprüft man die Unterlagen des Kunden auf die Netzwerkarchitektur und das Netzwerkdesign. |
Network Tracing |
Beim Network Tracing analysiert man den Netzwerkverkehr zwischen zwei Objekten. Das Ziel ist dabei Schwachstellen aufzudecken und Optimierungen zu erkennen. |
OSI Reference Model |
Das OSI Referenzmodell besteht aus sieben Schichten. Diese sieben Schichten definieren die Kommunikation zwischen zwei Endpunkten in einem Kommunikationsnetzwerk. Alle Schichten sollten bei der Überprüfung der Sicherheit eine Rolle spielen. |
OSSTMM |
Open Source Security Testing Methodology Manual. OSSTMM ist ein Standard für Sicherheitsüberprüfungen und beinhaltet unter anderem Channels und Rules of Engagement. Insgesamt werden die Sicherheitslücken in fünf Bereiche gegliedert: Vulnerability, Weakness, Concern, Exposure und Anomaly. |
OWASP Mobile Top 10 |
Die OWASP Mobile Top 10 ist eine Auflistung der kritischsten Schwachstellen in Mobile Apps. Darunter fallen zum Beispiel Poor Code Quality oder Reverse Engineering |
OWASP Top 10 |
Die OWASP Top 10 enthält eine Auflistung der kritischsten Schwachstellen in Webanwendungen. Diese sind unter anderem Sensitive Data Exposure oder Cross-Site Scripting. |
Partieller Code Review |
Bei einem partiellen Code Review wird der Programmiercode analysiert. Man sucht nach designbasierten Schwachstellen und Sicherheitslücken. |
Patching |
Beim Patching spielt man Software Patches ein, um Fehler und Probleme zu beheben. |
Path Traversal |
Wenn das Lesen und Schreiben von Dateien fehlerhaft ist, kann der Angreifer mittels Übergabeparameter das vorbestimmte Verzeichnis verlassen. Der Angreifer kann nun Daten auslesen, Systemdateien überschreiben oder Webseiten manipulieren. |
PCI DSS |
Payment Card Industry Data Security Standard. Datensicherheits-Standard, der in der Zahlungskartenbranche eingesetzt wird. |
Penetration Test |
Sicherheitsüberprüfung, bei der es einen hohen Test- und Verifikationsanteil gibt. |
Perfect Forward Secrecy (PFS) |
Eigenschaft von key-agreement Protokollen, wobei Sitzungsschlüssel generiert werden. |
Persistentes Cross-Site Scripting (Persistentes XSS) |
Persistentes XSS erlaubt JavaScript-Code dauerhaft auf einer Webseite zu haben. Wenn ein Benutzer die Webseite besucht, wird der Code eingebunden und ausgeführt. |
Phishing |
Bei Phishing wird versucht einen Benutzer zu täuschen, sodass dieser private Informationen, wie Passwörter oder Bankdaten, weitergibt. Es kann auch versucht werden den Benutzer dazu zu bringen Geld zu überweisen. |
Privilegierter Test |
Bei einem Privilegierten Test hat der Tester gültige Zugangsinformationen zur Verfügung. |
Qualitätssicherung / Review |
Die Qualitätssicherung ist ein Schlussbericht eines IT-Security-Projektes, in dem plausibel und korrekt das Projekt erläutert werden soll. |
Ransomware |
Angreifer verschlüsseln Daten oder sperren Zugänge mithilfe einer Schadsoftware. Es kommt zu einer Lösegeldforderung und nur wenn man das Geld zahlt, soll der Zugang wieder erlaubt sein. |
Redirection Angriff |
Bei einer Redirection Schwachstelle werden Daten von einem Benutzer verwendet, um ihn auf eine spezielle URL weiterzuleiten. Der Angriff kann hinter einer vertrauenswürdigen Domain stecken. |
Reflected Cross-Site Scripting (Reflected XSS) |
Man spricht von einer Reflected XSS Schwachstelle, wenn in einer Antwort HTML-Seite ungefiltert der Übergabeparameter der HTTP Request vorhanden ist. |
Reversal (Testtyp) |
Bei diesem Test haben die Tester von vorneherein Informationen über das System erhalten, während die Administratoren nichts über den anstehenden Test wissen. |
Reverse Engineering |
Bei Reverse Engineering analysiert man sicherheitsrelevantes Verhalten und die Funktionalitäten von Geräten. |
Risk Assessment Value (RAV) |
Messwert für die Angriffsfläche einer Umgebung und Maßstab für das Sicherheitsniveau zu einem bestimmten Zeitpunkt. Der Wert 100 spiegelt die perfekte Balance zwischen Angriffspunkten und Schutz wieder. Alles darunter sollte vermieden werden. |
Schlussbericht |
Der Schlussbericht fasst alle Ergebnisse des Projektes zusammen. Des Weiteren deckt er Risiken auf und empfiehlt Maßnahmen. |
Security Incident |
Jeder absichtliche und unabsichtliche Vorfall, der eine Bedrohung für die Informationssicherheit darstellt. |
Security Scan |
Eine Sicherheitsüberprüfung mit manuellem Nachweis der gefundenen Sicherheitslücken. |
Session Fixation |
Der Angreifer erstellt ein gültiges Session Token und übergibt es dem Benutzer. Wenn der Benutzer sich damit anmeldet, kann der Angreifer die Session übernehmen. |
Session Hijacking |
Der Angreifer übernimmt bei Session Hijacking die Sitzung des Benutzers. Dadurch erhält er Zugriff auf die Daten des Benutzers und kann in dessen Auftrag Befehle erteilen. |
Sichere Softwareentwicklung |
Die Sicherheit einer Software sollte stets höchste Priorität haben. Für die sichere Entwicklung von Softwares sollten Leitlinien verfasst werden. |
Spyware |
Eine Software wird beim Benutzer eingeschleust und spioniert ihn und seine Daten aus. Dies geschieht ohne dem Wissen und Einverständnis des Nutzers. |
SQL Injection |
Bei einer SQL Injection wird ein SQL-Code in eine Anwendung übertragen. Man kann nun Datenbankanfragen manipulieren, Datensätze verändern oder mehr Daten erhalten. |
SSL |
Secure Socket Layer. Frühere Version des TLS Protokolls |
Tandem (Testtyp) |
Test, bei dem die Tester von vorne herein Informationen bekommen und die Administratoren über den Test Bescheid wissen. |
Test-Typen |
IT Security Audits werden mithilfe des Informationsgrads der Administratoren und Tester kategorisiert. |
Testvektor |
Für verschiedene Szenarien braucht man unterschiedliche Testvektoren. Beispiele dafür sind via Internet, via Remote Zugriff oder im LAN. |
TLS |
Transport Layer Security. Ein hybrides Verschlüsselungsprotokoll, welches zur sicheren Datenübertragung im Internet beiträgt. |
Trojaner |
Eine bösartige Software, die sowohl dem Benutzer als auch dem Angreifer einen Nutzen bietet. Zum Beispiel kann ein Spiel im Hintergrund Dateien ändern oder löschen. |
Unprivilegierter Test |
Ein Test bei dem der Tester keine gültigen Zugangsinformationen besitzt. |
Verfügbarkeit |
Informationen sind auf autorisierter Nachfrage zugänglich und nutzbar. |
Vertraulichkeit |
Eigenschaft, dass Informationen nicht in falsche Hände, wie unberechtigte Personen, geraten. |
Virus |
Eine bösartige Software, die sich selbstständig auf Systemen installiert und verbreitet. |
VoIP Audit |
Auf Betriebssystem-, Protokoll- und Applikationsebene wird nach Sicherheitslücken in einer Voice over IP-Infrastruktur gesucht. |
Vulnerability |
Schwachstelle, die die Schwäche eines Wertes bezeichnet, die von Bedrohungen ausgenutzt werden kann. |
War Driving |
War Driving ist das Herumfahren in einem Fahrzeug, während man auf der Suche nach drahtlosen Netzwerken ist, um diese für böse Zwecke zu missbrauchen. |
Weakness |
Lücke in einer Plattform, auf der der Sicherheitsmechanismus aufgebaut wurde. |
Web Application Security Audit |
Mithilfe dieses Audit sollen Sicherheitsschwachstellen gefunden werden. Dabei werden vor allem Internet Banking Systeme, Online Shops und ähnliches untersucht. |
White Box (Testtyp) |
Der White Box Test ist eine Simulation einer Attacke mit Insiderwissen. |
White Hat (Testtyp) |
Bei einem White Hat Test werden die Administratoren über den bevorstehenden Test informiert. |
Windows Client Audit |
Auf Betriebssystem-, Netzwerk- und Applikationsebene wird eine Sicherheitsüberprüfung des Client Servers gemacht. |
WLAN Audit |
Test, der Sicherheitslücken in einem WLAN Netzwerk offenbaren soll. |
Wurm |
Bösartige Software, die sich selbst dupliziert und weiterverbreitet. |
XML |
Extensible Markup Language. Sprache, die Daten so darstellt, dass sowohl Mensch als auch Maschine sie lesen können. |
Zero Day |
Eine Zero-Day-Schwachstelle ist eine Sicherheitslücke, für die es bis jetzt noch keinen Patch gibt. |
Zugangskontrolle |
Bei der Zugangskontrolle soll sichergestellt werden, dass der Zugriff auf Werte nur autorisiert und eingeschränkt ausgeübt werden kann. |
SIGINT |
Signals Intetlligence. Informationen über ein Funksignal beschaffen. Sehr oft in Aufklärung von staatlichen Einheiten genutzt. |