Dokumentation
Pentesting

Pentesting

Überblick über Penetration Testing, Phasen, Ethik, Reconnaissance, Nmap, Enumeration, Web Security, OWASP Top 10, Juice Shop, CVSS und Reporting.

Pentesting

Pentesting steht für Penetration Testing. Dabei werden IT-Systeme kontrolliert und mit Erlaubnis getestet, um Schwachstellen zu finden, bevor echte Angreifer sie ausnutzen.

Das Fach verbindet Theorie mit Praxis: rechtliche Grundlagen, Methodik, Reconnaissance, Netzwerk-Scanning, Enumeration, Web-Pentesting, OWASP Top 10, CVSS/CVE und Reporting.

Worum geht es?

Zentrale Fragen sind:

  • Was ist ein Pentest?
  • Wie unterscheidet sich Pentesting von einem Vulnerability Assessment?
  • Welche Phasen hat ein Pentest?
  • Was bedeuten Black Box, Grey Box und White Box?
  • Welche ethischen und rechtlichen Grenzen gelten?
  • Wie sammelt man Informationen über ein Ziel?
  • Wie funktionieren Netzwerk-Scanning und Enumeration?
  • Welche Rolle spielt Nmap?
  • Welche Web-Schwachstellen beschreibt OWASP?
  • Wie bewertet man Schwachstellen mit CVSS?
  • Wie dokumentiert man Ergebnisse verständlich?

Themenbereiche

Grundlagen

Definition, Ziele, Abgrenzung zu Vulnerability Assessment und Typen von Pentests.

Ethik und Recht

White-Hat-Grundsätze, Erlaubnis, Vertraulichkeit, österreichische Rechtsaspekte und Responsible Disclosure.

Phasen

Reconnaissance, Scanning, Enumeration, Exploitation, Post-Exploitation und Reporting.

Reconnaissance

Passive und aktive Informationsbeschaffung mit Suchmaschinen, Shodan, whois und DNS.

Nmap und Scanning

Host Discovery, Port Scans, Service-Erkennung, OS-Fingerprinting und NSE.

Enumeration

Banner Grabbing, Directory Bruteforce, User Enumeration, DNS und SNMP.

Web Security und OWASP

OWASP Top 10, Zugriffskontrolle, kryptografische Fehler, Injection, Logging und SSRF.

Juice Shop

OWASP Juice Shop als absichtlich verwundbare Übungsanwendung verstehen und sauber kartieren.

CVSS, CVE und Reporting

Schwachstellen bewerten, CVEs recherchieren und Ergebnisse verständlich dokumentieren.

Materialgrundlage

Die Pentesting-Dokumentation basiert auf:

  • Unterrichtsmaterialien zu Pentesting, Reconnaissance, Netzwerk-Scanning und Enumeration
  • OWASP-Juice-Shop-Unterlagen zur Anwendungskartierung
  • Präsentationen zu OWASP Top 1-3 und OWASP Top 7-10
  • Übungsdokument zu CVSS v4.0 und CVE-Recherche

Hinweis: james.docx aus der ZIP ist ein verschlüsseltes Office-Dokument und wurde deshalb nicht als Inhaltsquelle verwendet.

Merksatz

Pentesting ist autorisierte Sicherheitsprüfung. Ohne klare Erlaubnis, Umfang und Dokumentation ist es kein Pentest, sondern ein Risiko.

Zuletzt aktualisiert: 6. Juni 2026

Schutz und Fallstudien

Prävention, Schutzmaßnahmen und Fallstudien zu Gaming Malware, Mobile Malware und Ransomware im Bildungssektor.

Grundlagen des Pentesting

Definition, Ziele, Abgrenzung zu Vulnerability Assessment und Black-Box-, Grey-Box- und White-Box-Ansätze.