Das Penetration Testing Glossar

Hier findest du eine Vielzahl von Penetration Testing & IT-Security Begriffen und ihre Erklärung


Begriff

Bedeutung

PTA (Permission to Attack)

Rechtliche Rahmenvereinbarung, dass ein Penetration Test durchgeführt werden darf. Ohne PTA ist es eine Straftat einen Penetration Test durchzuführen.

NDA (Non-Disclosure-Agreement)

Die NDA ist eine Verschwiegenheitserklärung. Das bedeutet, dass sich beide Vetragspartner an die Geheimhaltung der Daten, Informationen und Ergbenisse um den Penetration Test halten müssen.

Scope-Dokument

Im Scope-Dokument werden alle Ziele und nicht-Ziele des Penetration Tests festgehalten. Es steckt so zusagen den Rahmen des Penetration Tests ab.

White Hat Hacker

Ein White Hat Hacker ist ein Hacker für die gute Sache. Er handelt rein aus Interesse daran, die IT-Sicherheit zu verbessern.

Black Hat Hacker

Ein Black Hat Hacker ist ein Hacker, der ausschließlich böse Absichten besitzt. Er handelt auf jegliche Art illegal und möchte Schaden verursachen.

Grey/Gray Hat Hacker

Ein Grey Hat Hacker ist ein White Hat Hacker, der dennoch böse Absichten hat. Meistens ist es ein Cyber-Security-Angestellter, der Nachts zum Black Hat mutiert.

Social Engineering

Hacking von Menschen über die soziale Ebene. Sehr oft werden Angriffe wie z.B. Phishing, Vhishing oder Pre-Texting verwendet um an Computer-Daten/sensible Daten über die menschliche Ebene zu kommen.

Human Hacking

Hacken von Menschen. Das kann bedeuten, dass ein Angreifer z.B. jemanden dazu bewegt, dass er sein Passwort ausplaudert, oder auf einer fälschlichen Seite eingibt.

OSINT

Open Source Intilligence. Informationen über Open Source Quellen über eine Organisation/Person beschaffen.

SOCMINT

Social Media Intelligence. Informationen über die Sozialen Medien über eine Person/Organisation beschaffen.

GEOINT

Geopspatial Intelligence. GEO-Informationen über eine Person/von einer Organisation beschaffen.

HUMINT

Human Intelligence. Informationen über eine Person/Organisation über andere Personen/über die menschliche Ebene beschaffen.

SIGINT

Signals Intetlligence. Informationen über ein Funktsignal beschaffen. Sehr oft in Aufklärung von staatlichen Einheiten genutzt.

Profiling

Erstellen eines Profiles über eine Person. Sehr oft von staatlichen Einrichtungen genutzt.

Password Profiling

Erstellen von maßgeschneiderten Passwortlisten für eine Person/Organisation.

Lockpicking

Aufschließen von Schlössern mit speziellem Werkzeug (Picks und Spanner).

Reverse Engineering

Verstehen, wie eine Funktion/ein Programm/eine Tätigkeit funktioniert. Sehr oft im Bereich Software Penetration Testing im Einsatz.

OWASP

Open Web Application Security Project. Freie Organisation, die sich mit der Sicherheit von Software auseinandersetzt.

Red Teaming

Simulation von gezielten Angriffen auf ein Unternehmen. Meistens eine Kombination aus Penetration Tests und Social Engineering.

Blue Teaming

Ein Team, das intern im Unternehmen die IT-Sicherheit verbessert. Sehr oft arbeitet das Blue Team mit dem Red Team zusammen und formt somit das Purple Team.

Yellow Teaming

Ein Development Team intern in einer Firma, die sich der sicheren Entwicklung auseinandersetzt. Sehr oft wird mit dem Blue Team gemeinsam ein Green Team geformt. Ebenso gibt es das Orange Teaming, wo das Yellow Team mit dem Red Team fusioniert wird.

OSCP (Offensive Security Certified Professional)

Eine Zertifizierung für Penetration Testing von Offensive Security. Ideal für Leute, die Exploitation, Bufferoverflows und Identifikation von Schwachstellen in die Tiefe lernen wollen.

OSWP (Offensive Security Wireless Professional)

Eine Zertifizierung für WLAN Penetration Testing von Offensive Security. Ideal für Leute, die sich mit WLAN Penetration Testing tiefer auseinander setzen möchten.

CEH (Certified Ethical Hacker) - EC Council

Eine Zertifizierung von EC Council, die dich theoretisch Abbrüht, wie Penetration Tests, Angriffe und IT-Sicherheit in der Praxis ablaufen.

eCPPT (eLearnSecurity Certified Professional Penetration Tester)

Eine Zertifizierung von eLearnSecurity, die nach dem eJPT kommt und professionelles Penetration Testing in einem Real-Life-Szenario überprüft.

eCPTX (eLearnSecurity Certified Penetration Tester eXtreme)

Eine Zertifizierung von eLearnSecurity, die nach dem eCPPT kommt und elitäres Penetration Testing in einem Real-Life-Szenario überprüft.

eCTHP (eLearnSecurity Certified Threat Hunting Professional)

Eine Zertifizierung von eLearnSecurity, die für qualitatives Threat Hunting interessant ist. Diese Zertifizierung macht für Systemadministratoren mit IT-Security-Fokus Sinn.

eCDFP (eLearnSecurity Certified Digital Forensics Professional)

Eine Zertifizierung von eLearnSecurity, die für IT-Forensiker sehr interessant ist. Diese Zertifizierung simuliert einen Real-Life-Fall aus der Forensik.

JWT - JSON Web Token

JSON Web Token - Wird oft für Authentifizierung von Web Apps, mobile Apps, usw. gegen eine API benutzt.

Advanced Mail Tests

Die E-Mail-Infrastruktur wird auf die korrekte Einsetzung der Filter, wie Antispam, überprüft.

Advanced Persistent Threat (APT)

APT ist ein Cyber-Angriff, der Unternehmen und politische Ziele attackiert.

Adware

Eine Software, bei der neben der eigentlichen Funktion Werbung angezeigt wird. Somit wird die Software meist finanziert.

Angriffsvektor

Der Weg mit dem ein Angriff das Ziel erreicht. Beispiele dafür sind Buffer-Overflow-Attacken, Viren, etc.

Anomalie

Eine Anomalie ist etwas Unbekanntes im System, das sich mit den gerade zur Verfügung stehenden Mitteln nicht identifizieren lässt.

Application Security Audit

Eine Sicherheitsüberprüfung, die sehr gründlich ist und bei der sowohl die Outsider als auch Insider-Perspektive enthalten ist.

Authentisierung

Bei einer Authentisierung wird in einem Prozess die Identität einer Person bestätigt.

Autorisierung

Bei einer Autorisierung hat man die Erlaubnis, Ermächtigung oder Genehmigung etwas zu tun.

Backdoor

Teil einer Software, die es dem User erlaubt die normalen Zugriffssicherungen zu umgehen und dadurch Zugang auf Computer oder Programme zu bekommen.

Bedrohung

Eine Bedrohung ist eine mögliche Ursache, die dem System oder dem Unternehmen Schaden zufügen kann. Bedrohungen können zum Beispiel Datendiebstahl, Datenverlust oder ähnliches sein.

Black Box (Testtyp)

Bei einem Black Box Test erhalten Tester keine Informationen über die zu prüfenden Systeme, sondern starten genauso wie der Hacker bei Null.

Black Hat (Testtyp)

Bei einem Black Hat Test sollen die Reaktionen der IT-Mitarbeiter auf Security Vorfälle ermittelt werden. Dabei wissen die Mitarbeiter nichts von dem Test.

Blind (Testtyp)

Bei einem Blind Test haben die Tester keine Informationen über die zu prüfenden Systeme. Die Administratoren wurden über den anstehenden Test informiert.

Brute-Force-Angriff

Bei einem Brute-Force-Angriff werden alle möglichen Kombinationen an Zeichenfolgen als Passwort ausprobiert. Da dies sehr zeitaufwendig ist, gibt es die moderne Möglichkeit mit einer Dictionary Attack.

BSI-Grundschutz

Der IT-Grundschutz vom deutschen Bundesamt für Sicherheit in der Informationstechnik. Darin befindet sich eine Sammlung von Empfehlungen bezüglich der Informationssicherheit.

Buffer Overflow (Pufferüberlauf)

Ein Programm wird dazu gebracht mehr Daten als vorgesehen in einen Puffer im Hauptspeicher zu schreiben, um angrenzende Datenstrukturen zu überschreiben. Man löst dabei ungewollte Änderungen im Programmablauf bzw. im Speicherinhalt aus.

Code Injection

Bei einer Code Injection wird einer Anwendung ein Programm-Code übermittelt und dieser wird dann eingebettet und ausgeführt.

Concern

Ein Concern ist keine direkte Bedrohung, jedoch zeitgleich ein unnötiger Einsatz von Ressourcen.

Configuration Review

Überprüfung der Konfiguration mit dem Ziel mögliche Verbesserungen im Hardening zu erkennen bzw. Schwachstellen ausfindig zu machen.

Cookie

Ein Cookie ist eine Textdatei, die von einem Webserver auf einem lokalen Rechner abgelegt wird, um das Nutzerverhalten zu bestimmen und aufzuzeichnen.

Crimeware

Eine Crimeware ist eine Malware, mit der man finanziellen Gewinn erzielen möchte.

CRLF Injection

Bei einer CRLF Injection wird Schadcode in eine Applikation eingespielt. Es werden dabei zum Beispiel "Carriage Return" und "Line Feed" eingesetzt.

Cross-Site Request Forgery (CSRF)

Ein Angriff, bei der eine Webseite nur dürftig überprüft, ob eine Anfrage berechtigt ist. Wenn der Benutzer eine spezielle Webseite besucht, kann der Angreifer sich als Benutzer ausgeben und der Webseite Befehle übermitteln.

Cross-Site Scripting (XSS)

Eine Verwundbarkeit, bei der ein Angreifer Skripte in eine Webseite einbetten kann. Das Script unterscheidet sich nicht von vorhandenen Skripten und wird vom Browser gleichermaßen ausgeführt.

Cyber Security

Die Cyber Security beschäftigt sich mit Maßnahmen, die Informationssysteme vor unerlaubten Zugriffen und Schaden schützen sollen.

Cyber War

Ein Cyber War besteht aus Tätigkeiten, die von einem Staat/einer Organisation ausgeführt werden, um in einen anderen Staat/andere Organisation einzudringen.

Denial-of-Service Attacke

Ein Angriff, bei dem durch Überlastung der verfügbaren Kapazitäten, ein Computer oder eine Netzwerk-Ressource nicht verfügbar gemacht wird.

Demilitarisierte Zone (DMZ)

DMZ ist ein Netzwerk bestehend aus Computer, welches Dienste eines Unternehmens für ein anderes Netzwerk bereitstellt. Dabei haben die Computer meist Zugriff auf firmeninterne Ressourcen. Um diese Ressourcen zu schützen, werden die Computer mithilfe von Firewalls getrennt.

Dictionary Attacke

Eine Attacke bei der bestimmte Wörter aus einem Wörterbuch als Passwort überprüft werden.

Document Object Model (DOM)

DOM ermöglicht Zugriff auf ein Dokument und dessen Objekte. DOM ist eine Schnittstelle, die unabhängig von der Plattform ist.

DOM-Based Cross-Site Scripting (DOM-Based XSS)

Die DOM-Based XSS Schwachstelle gestattet das Einbinden von Code einer Webseite. Dabei wird ein Fehler im Script der Anwendung ausgenutzt.

Double Blind (Testtyp)

Bei einem Double Blind bekommen die Tester von vorneherein keine Informationen über die zu prüfenden Systeme und die Administratoren werden nicht über den Test informiert. Der Double Blind ist nicht sehr effizient, dafür aber realistisch.

E-Mail Spoofing

E-Mail-Spoofing ist das Erstellen und Versenden von E-Mails mit gefälschtem Absender.

Enumeration

Bei der Enumeration werden so viele Informationen wie möglich über das Zielsystem gesammelt. Mithilfe der Enumeration möchte man sich einen Überblick über das System schaffen, um den Angriff optimal ausführen zu können.

Ethical Hacking

Beim Ethical Hacking bekommt man einen spezifischen genau festgelegten Auftrag, wobei man organisatorische und technische Mängel aufdecken soll. Sobald eine Verwundbarkeit gefunden wurde, wird gestoppt.

Exploit

Ein Exploit ist eine Codesequenz, welche die Verwundbarkeit eines Programmes/einer Software ausnutzt und diese zu einer nicht korrekten Ausführung zwingt. Damit kann zum Beispiel die Software zum Absturz gebracht werden.

Exposure (Informationsabfluss)

Hierbei findet die Preisgabe von Informationen statt. Dabei können Angreifer wichtige Informationen und Hinweise über die interne Netzwerk-Struktur bekommen.

Firewall Rule Set Audit

Bei einem Firewall Rule Set Audit werden die aktiven und inaktiven Firewall-Regeln analysiert. Das Ziel dabei ist Schwachstellen aufzudecken und Optimierungen zu erkennen.

Forensic Readiness

Bei der Forensic Readiness handelt es sich um die technische und organisatorische Vorarbeit, die geleistet wird, um im Falle einer Untersuchung von Sicherheitsvorfällen bestens vorbereitet zu sein.

Fraud Detection

Das Ziel von Fraud Detection ist es Betrugsfälle zu identifizieren. Dies geschieht über ein internes Kontrollsystem, welches Risiken ermittelt.

Grey Box (Testtyp)

Bei diesem Test werden die Administratoren im Vorab über den Test informiert und die Tester bekommen teilweise Informationen über die Systeme.

Hardening

Bei System Hardening reduziert man die Angriffsfläche und erhöht gleichzeitig die Sicherheit im System.

HTML (HyperText Markup Language)

HTML ist eine Sprache, mit der man Webseiten erstellt. Das HTML-Dokument enthält Anweisungen für den Browser, damit dieser die Informationen wiedergeben kann.

HTTP (HyperText Transfer Protocol)

HTTP ist das zentrale Kommunikationsprotokoll im World Wide Web. Es ist ein Klartext-Protokoll und ein Modell bei dem der Client eine Anfrage an den Server schickt. Danach kommt eine Antwortnachricht zurück.

HTTPS (HyperText Transfer Protocol Secure)

HTTPS verwendet TLS, damit Authentisierungen stattfinden können und die übertragenden Daten vor Dritten geschützt werden.

ICS (SCADA / DCS) Security Audit

Bei einem ISC Security Audit gibt es eine Sicherheitsüberprüfung im ISC-Bereich. Diese Überprüfung ist unprivilegiert, privilegiert, technisch und/oder konzeptionell. ISC-Umgebungen findet man zum Beispiel in der Fertigung, im Energiesektor oder auf Flughäfen.

Incident Response

Mit Incident Response beschreibt man die Reaktion und das Verhalten einer Organisation auf einen vorangegangenen Vorfall. Die Reaktion kann zum Beispiel die Behebung des Schadens beinhalten.

Informationssicherheit

Die Informationssicherheit beschäftigt sich mit der Erhaltung von Verfügbarkeit, Vertraulichkeit, Nachweisbarkeit und Zuverlässigkeit von Informationen. Die Informationen gibt es in verschiedenen Formen, wie zum Beispiel elektronisch oder gedruckt.

Informationssicherheitsleitlinie

Die Informationssicherheitsleitlinie ist eine Security Policies und soll der Organisation angemessen sein. In der Leitlinie sollen zum Beispiel die Informationssicherheit beschrieben, Verantwortliche zugewiesen und Umgang mit Abweichungen bzw. Ausnahmen dargestellt werden.

Integrität

Die Eigenschaften von Informationswerten müssen sowohl richtig, als auch vollständig sein. Mithilfe der Datenintegrität möchte man eine Verstümmelung der Daten verhindern.

ISMS (Information Security Management System)

ISMS ist sozusagen ein Rahmenwerk, welches die erforderlichen Schritte aufzeigt, damit man die Ziele erreicht. Im Management System werden Verantwortlichkeiten, Verfahren, Prozesse und mehr beschrieben.

ISO 27001

Die ISO 27001 legt die Anforderungen an ein ISMS dar. Man kann sich den Standard zertifizieren lassen.

ISO 27002 Security Audit

Die ISO 27002 Security Audit zählt zu den konzeptionellen Überprüfungen und dabei werden Fragebögen und Interviews ausgewertet. Am Ende sollte man eine Übersicht der Informationssicherheit einer Organisation haben.

IT Security Roadmap

Um beständig und nachhaltig die Sicherheit eines Unternehmens zu fördern, kann man eine IT Security Roadmap, also ein definierter Fahrplan mit zugehörigen IT Security-Aktivitäten, erstellen.

IT-Forensik

Unter IT-Forensik versteht man die Untersuchung und Wiederherstellung von Daten auf digitalen Geräten. Des Weiteren stellt man Beweise sicher, damit diese vor Gericht verwendet werden können.

JavaScript

JavaScript ist eine Programmiersprache, mit der man meistens Skripte für den Browser des Benutzers schreibt. Diese Scripte können Seiteninhalte verändern, generieren oder aber Interaktionsmöglichkeiten anbieten.

Kick-Off-Meeting

Das Kick-Off-Meeting ist wie der Name schon sagt eine Besprechung, die vor dem Start des IT-Projektes durchgeführt wird und Grundlagen abklärt. Es werden Aspekte, wie der Zeitplan oder der Projektumfang besprochen.

Least Privilege Prinzip

Beim Least Privilege Prinzip werden einer Entität nur die absolut notwendigen Rechte gegeben, damit sie ihre Aufgaben erledigen kann.

Malware

Malware kann zwei Bedeutungen haben. Einerseits ist es eine Software, die unerwünschte Aktionen auf der Seite des Benutzers ausführt. Andererseits kann man es als einen Sammelbegriff für Viren, Würmer, Spyware und Adware ansehen.

Mobile App Penetration Test

Ein Mobil App Penetration Test sucht nach Sicherheitslücken in Betriebssystem, Basisdiensten und Applikationen auf Mobilgeräten.

Nachweisbarkeit (Non-Repudiation)

Fertigkeit, das Erscheinen einer Aktion und dessen Ursprung beweisen zu können.

Network Design Review

Bei einem Network Design Review ist das Ziel designbasierte Schwachstellen ausfindig zu machen. Dazu überprüft man die Unterlagen des Kunden auf die Netzwerkarchitektur und das Netzwerkdesign.

Network Tracing

Beim Network Tracing analysiert man den Netzwerkverkehr zwischen zwei Objekten. Das Ziel ist dabei Schwachstellen aufzudecken und Optimierungen zu erkennen.

OSI Reference Model

Das OSI Referenzmodell besteht aus sieben Schichten. Diese sieben Schichten definieren die Kommunikation zwischen zwei Endpunkten in einem Kommunikationsnetzwerk. Alle Schichten sollten bei der Überprüfung der Sicherheit eine Rolle spielen.

OSSTMM

Open Source Security Testing Methodology Manual. OSSTMM ist ein Standard für Sicherheitsüberprüfungen und beinhaltet unter anderem Channels und Rules of Engagement. Insgesamt werden die Sicherheitslücken in fünf Bereiche gegliedert: Vulnerability, Weakness, Concern, Exposure und Anomaly.

OWASP Mobile Top 10

Die OWASP Mobile Top 10 ist eine Auflistung der kritischsten Schwachstellen in Mobile Apps. Darunter fallen zum Beispiel Poor Code Quality oder Reverse Engineering

OWASP Top 10

Die OWASP Top 10 enthält eine Auflistung der kritischsten Schwachstellen in Webanwendungen. Diese sind unter anderem Sensitive Data Exposure oder Cross-Site Scripting.

Partieller Code Review

Bei einem partiellen Code Review wird der Programmiercode analysiert. Man sucht nach designbasierten Schwachstellen und Sicherheitslücken.

Patching

Beim Patching spielt man Software Patches ein, um Fehler und Probleme zu beheben.

Path Traversal

Wenn das Lesen und Schreiben von Dateien fehlerhaft ist, kann der Angreifer mittels Übergabeparameter das vorbestimmte Verzeichnis verlassen. Der Angreifer kann nun Daten auslesen, Systemdateien überschreiben oder Webseiten manipulieren.

PCI DSS

Payment Card Industry Data Security Standard. Datensicherheits-Standard, der in der Zahlungskartenbranche eingesetzt wird.

Penetration Test

Sicherheitsüberprüfung, bei der es einen hohen Test- und Verifikationsanteil gibt.

Perfect Forward Secrecy (PFS)

Eigenschaft von key-agreement Protokollen, wobei Sitzungsschlüssel generiert werden.

Persistentes Cross-Site Scripting (Persistentes XSS)

Persistentes XSS erlaubt JavaScript-Code dauerhaft auf einer Webseite zu haben. Wenn ein Benutzer die Webseite besucht, wird der Code eingebunden und ausgeführt.

Phishing

Bei Phishing wird versucht einen Benutzer zu täuschen, sodass dieser private Informationen, wie Passwörter oder Bankdaten, weitergibt. Es kann auch versucht werden den Benutzer dazu zu bringen Geld zu überweisen.

Privilegierter Test

Bei einem Privilegierten Test hat der Tester gültige Zugangsinformationen zur Verfügung.

Qualitätssicherung / Review

Die Qualitätssicherung ist ein Schlussbericht eines IT-Security-Projektes, in dem plausibel und korrekt das Projekt erläutert werden soll.

Ransomware

Angreifer verschlüsseln Daten oder sperren Zugänge mithilfe einer Schadsoftware. Es kommt zu einer Lösegeldforderung und nur wenn man das Geld zahlt, soll der Zugang wieder erlaubt sein.

Redirection Angriff

Bei einer Redirection Schwachstelle werden Daten von einem Benutzer verwendet, um ihn auf eine spezielle URL weiterzuleiten. Der Angriff kann hinter einer vertrauenswürdigen Domain stecken.

Reflected Cross-Site Scripting (Reflected XSS)

Man spricht von einer Reflected XSS Schwachstelle, wenn in einer Antwort HTML-Seite ungefiltert der Übergabeparameter der HTTP Request vorhanden ist.

Reversal (Testtyp)

Bei diesem Test haben die Tester von vorneherein Informationen über das System erhalten, während die Administratoren nichts über den anstehenden Test wissen.

Reverse Engineering

Bei Reverse Engineering analysiert man sicherheitsrelevantes Verhalten und die Funktionalitäten von Geräten.

Risk Assessment Value (RAV)

Messwert für die Angriffsfläche einer Umgebung und Maßstab für das Sicherheitsniveau zu einem bestimmten Zeitpunkt. Der Wert 100 spiegelt die perfekte Balance zwischen Angriffspunkten und Schutz wieder. Alles darunter sollte vermieden werden.

Schlussbericht

Der Schlussbericht fasst alle Ergebnisse des Projektes zusammen. Des Weiteren deckt er Risiken auf und empfiehlt Maßnahmen.

Security Incident

Jeder absichtliche und unabsichtliche Vorfall, der eine Bedrohung für die Informationssicherheit darstellt.

Security Scan

Eine Sicherheitsüberprüfung mit manuellem Nachweis der gefundenen Sicherheitslücken.

Session Fixation

Der Angreifer erstellt ein gültiges Session Token und übergibt es dem Benutzer. Wenn der Benutzer sich damit anmeldet, kann der Angreifer die Session übernehmen.

Session Hijacking

Der Angreifer übernimmt bei Session Hijacking die Sitzung des Benutzers. Dadurch erhält er Zugriff auf die Daten des Benutzers und kann in dessen Auftrag Befehle erteilen.

Sichere Softwareentwicklung

Die Sicherheit einer Software sollte stets höchste Priorität haben. Für die sichere Entwicklung von Softwares sollten Leitlinien verfasst werden.

Spyware

Eine Software wird beim Benutzer eingeschleust und spioniert ihn und seine Daten aus. Dies geschieht ohne dem Wissen und Einverständnis des Nutzers.

SQL Injection

Bei einer SQL Injection wird ein SQL-Code in eine Anwendung übertragen. Man kann nun Datenbankanfragen manipulieren, Datensätze verändern oder mehr Daten erhalten.

SSL

Secure Socket Layer. Frühere Version des TLS Protokolls

Tandem (Testtyp)

Test, bei dem die Tester von vorne herein Informationen bekommen und die Administratoren über den Test Bescheid wissen.

Test-Typen

IT Security Audits werden mithilfe des Informationsgrads der Administratoren und Tester kategorisiert.

Testvektor

Für verschiedene Szenarien braucht man unterschiedliche Testvektoren. Beispiele dafür sind via Internet, via Remote Zugriff oder im LAN.

TLS

Transport Layer Security. Ein hybrides Verschlüsselungsprotokoll, welches zur sicheren Datenübertragung im Internet beiträgt.

Trojaner

Eine bösartige Software, die sowohl dem Benutzer als auch dem Angreifer einen Nutzen bietet. Zum Beispiel kann ein Spiel im Hintergrund Dateien ändern oder löschen.

Unprivilegierter Test

Ein Test bei dem der Tester keine gültigen Zugangsinformationen besitzt.

Verfügbarkeit

Informationen sind auf autorisierter Nachfrage zugänglich und nutzbar.

Vertraulichkeit

Eigenschaft, dass Informationen nicht in falsche Hände, wie unberechtigte Personen, geraten.

Virus

Eine bösartige Software, die sich selbstständig auf Systemen installiert und verbreitet.

VoIP Audit

Auf Betriebssystem-, Protokoll- und Applikationsebene wird nach Sicherheitslücken in einer Voice over IP-Infrastruktur gesucht.

Vulnerability

Schwachstelle, die die Schwäche eines Wertes bezeichnet, die von Bedrohungen ausgenutzt werden kann.

War Driving

War Driving ist das Herumfahren in einem Fahrzeug, während man auf der Suche nach drahtlosen Netzwerken ist, um diese für böse Zwecke zu missbrauchen.

Weakness

Lücke in einer Plattform, auf der der Sicherheitsmechanismus aufgebaut wurde.

Web Application Security Audit

Mithilfe dieses Audit sollen Sicherheitsschwachstellen gefunden werden. Dabei werden vor allem Internet Banking Systeme, Online Shops und ähnliches untersucht.

White Box (Testtyp)

Der White Box Test ist eine Simulation einer Attacke mit Insiderwissen.

White Hat (Testtyp)

Bei einem White Hat Test werden die Administratoren über den bevorstehenden Test informiert.

Windows Client Audit

Auf Betriebssystem-, Netzwerk- und Applikationsebene wird eine Sicherheitsüberprüfung des Client Servers gemacht.

WLAN Audit

Test, der Sicherheitslücken in einem WLAN Netzwerk offenbaren soll.

Wurm

Bösartige Software, die sich selbst dupliziert und weiterverbreitet.

XML

Extensible Markup Language. Sprache, die Daten so darstellt, dass sowohl Mensch als auch Maschine sie lesen können.

Zero Day

Eine Zero-Day-Schwachstelle ist eine Sicherheitslücke, für die es bis jetzt noch keinen Patch gibt.

Zugangskontrolle

Bei der Zugangskontrolle soll sichergestellt werden, dass der Zugriff auf Werte nur autorisiert und eingeschränkt ausgeübt werden kann.

Teile uns auf den sozialen Medien

Cookie Warnung

Akzeptieren Für statistische Zwecke und um bestmögliche Funktionalität zu bieten, speichert diese Website Cookies auf Ihrem Gerät. Das Speichern von Cookies kann in den Browser-Einstellungen deaktiviert werden. Wenn Sie die Website weiter nutzen, stimmen Sie der Verwendung von Cookies zu.