Beispiel-Agenda Scoping

Im Scoping besprechen wir typischerweise folgende Punkte:

• Testgegenstand kennenlernen (siehe Fragen auf den jeweiligen Seiten im Konfigurator zur Orientierung)
• Vertiefende Fragen zum Testgegenstand, wie:
  • Webanwendungen: Vorstellung der Anwendung per Screensharing mit Fokus auf Funktionalitäten und verschiedene Benutzer/Rollen
  • Interne Infrastruktur: Anzahl der Domänen und Aufbau des Forests
• Welche Wünsche habt ihr noch, auf was sollen wir achten?
• Klären von organisatorischen Fragen (siehe Organisatorisches im Konfigurator)
• Hinweise für euch:
  • Ggf. ist eine Genehmigung für den Pentest durch externe Hoster erforderlich
  • Wir empfehlen euch, bei Pentests unsere IP-Adresse aus vorgeschalteten Schutzsysteme, wie Web Application Firewalls (WAF) und Intrusion Prevention Systeme (IPS), auszunehmen. Der Grund dafür ist, dass wir bei Pentests nicht eure WAF oder IPS testen, sondern das, was dahinterliegt. Zudem möchten wir möglichst effizient vorgehen, was den Einsatz von einigen automatisierten Tools unabdingbar macht. Um dabei nicht geblockt zu werden und unnötig Zeit mit Wiederfreischaltungen zu verlieren, empfehlen wir, Ausnahmen für uns anzulegen. Für Red Teamings gilt das nicht.