Dokumentation
Pentesting

CVSS, CVE und Reporting

Schwachstellen bewerten, CVSS v4.0 verstehen, CVEs recherchieren und Pentest-Ergebnisse professionell dokumentieren.

CVSS, CVE und Reporting

Ein Pentest ist erst dann wirklich hilfreich, wenn die Ergebnisse bewertet, priorisiert und verständlich dokumentiert werden.

Die Unterlagen enthalten dazu eine Übung zu CVSS v4.0, CVE-Recherche und dem Vergleich von Web-Schwachstellen.

CVSS

CVSS steht für Common Vulnerability Scoring System.

CVSS hilft, technische Schweregrade vergleichbarer zu machen.

Ein CVSS-Ergebnis besteht typischerweise aus:

  • Base Score
  • Schweregrad
  • Vektor-String
  • gesetzten Metriken

Wichtige Bewertungsfragen

Bei der Bewertung einer Schwachstelle fragt man unter anderem:

  • Ist der Angriff über das Netzwerk möglich?
  • Braucht der Angreifer Privilegien?
  • Ist Benutzerinteraktion nötig?
  • Ist die Ausnutzung komplex?
  • Welche Auswirkungen gibt es auf Vertraulichkeit?
  • Welche Auswirkungen gibt es auf Integrität?
  • Welche Auswirkungen gibt es auf Verfügbarkeit?

Beispiele aus der Übung

Die Übung behandelt vier Schwachstellenfälle:

FallThema
APre-Auth Remote Code Execution in einem Webshop-Plugin
Blokale Privilege Escalation durch SUID-root-Hilfsprogramm
CDenial of Service über internes Management-Interface
Dfehlende Zugriffskontrolle in einer Webanwendung

Wichtig ist nicht nur der Score, sondern die Begründung der Metriken.

CVE

CVE steht für Common Vulnerabilities and Exposures.

Eine CVE-ID bezeichnet eine öffentlich bekannte Schwachstelle.

Die Übung nennt:

  • CVE-2014-6271, Shellshock
  • CVE-2017-0144, EternalBlue

Bei CVE-Recherche sollte man erfassen:

  • betroffenes Produkt oder Projekt
  • Art der Schwachstelle
  • betroffene CIA-Schutzziele
  • offizieller CVSS Base Score
  • Schweregrad
  • eigene Einschätzung, ob Score und Beschreibung zusammenpassen

Web-Schwachstellen mit CVEs verbinden

Die Übung fordert, Schwachstellenarten mit echten CVEs zu verbinden.

Beispiele für Kategorien:

  • SQL Injection
  • Cross-Site Scripting
  • Remote Code Execution
  • Broken Access Control
  • Cross-Site Request Forgery
  • Server-Side Request Forgery

Dadurch wird sichtbar, dass abstrakte Fehlerklassen reale Produkte und Organisationen betreffen können.

CVSS ist nicht alles

CVSS bewertet technische Schwere. Im Pentest zählt zusätzlich der Kontext.

Beispiele:

  • Eine mittel bewertete Schwachstelle kann geschäftskritisch sein.
  • Eine kritische Schwachstelle kann durch Netzwerksegmentierung weniger erreichbar sein.
  • Sensible Daten erhöhen die praktische Relevanz.
  • Exploitability und Business Impact müssen getrennt verstanden werden.

Reporting

Ein guter Pentest-Bericht sollte für Technik und Management verständlich sein.

Typische Struktur:

  • Executive Summary
  • Scope und Methodik
  • Risikozusammenfassung
  • Findings nach Priorität
  • technische Details
  • Nachweise
  • Auswirkungen
  • konkrete Empfehlungen
  • Referenzen
  • Anhang mit Rohdaten

Gutes Finding

Ein Finding sollte enthalten:

  • Titel
  • Schweregrad
  • betroffene Systeme
  • Beschreibung
  • Auswirkung
  • Reproduktionsschritte im erlaubten Rahmen
  • Belege
  • Empfehlung
  • Referenzen

Merksatz

Ein Pentest-Bericht ist kein Trophäenregal für gefundene Lücken. Er ist ein Arbeitsdokument, damit Risiken verstanden und behoben werden können.

Zuletzt aktualisiert: 6. Juni 2026

OWASP Juice Shop

OWASP Juice Shop als absichtlich verwundbare Lernanwendung kartieren, verstehen und sicher verwenden.

SBY - Sichere Betriebssysteme

Überblick über Betriebssysteme, Prozesse, Threads, Scheduling, Nebenläufigkeit, IPC, Speicherverwaltung, Dateisysteme und Autorisierung.