Publiek & grey box

Aanvallen van publieke IP-adressen of websites door ethical hackers van Smarts. De IP-adressen en websites worden aangevallen met door de organisatie beschikbaar gestelde inloggegevens. Enkele voorbeelden zijn een verhuurportal met woningaanbod of een publiek gepubliceerd intranet. Qua aanpak is de externe pentest op basis van de black box methode. Additionele doelstellingen zijn om 1. ‘Uit te breken’ uit de gebruikerscontext, bijvoorbeeld door bij data van andere gebruikers of huurders te komen. 2. Bij voor normale gebruikers afgeschermde gedeelten of data te komen. 3. Systeemtoegang tot de webservers en achterliggende database- / applicatie servers te verschaffen. Doorlooptijd van 2 tot 4 weken, afhankelijk van de scope.

Deliverables:

• Scope pentest afgesproken
• Pentest met beschikking over inloggegevens op publieke diensten op afstand uitgevoerd
• Opstellen rapportage
• Presenteren en bespreken van bevindingen en aanbevelingen
• Optioneel: Assisteren met doorvoeren voorgestelde mitigerende maatregelen
• Optioneel: Extra pentest om vast te stellen dat de gemitigeerde kwetsbaarheden niet meer zijn te misbruiken.