Pentesten

De resultaten uit deze fase geven inzicht in de grootte van het beveiligingsrisico, de mogelijkheden voor mitigatie en de complexiteit van het mitigatieproces. Een deel van de resultaten wordt verkregen aan de hand van het Common Vulnerability Scoring System.

In de laatste fase wordt de rapportage opgesteld. Deze rapportage bevat onder meer een uitgebreide toelichting van de gevonden kwetsbaarheden, een risico- en aanbevelingsmodel en een onafhankelijk advies gericht op het verbeteren van de beveiliging.

Identification & exploitation
In deze fase voeren de onderzoekers het ‘Creative Hacking Process’ uit. Hierbij wordt het onderzoeksobject vanuit verschillende perspectieven benaderd en aan de hand van uiteenlopende (nieuwe) technieken onderzocht. Dit heeft als doel om ook de aanwezige kwetsbaarheden die niet volgens het CWE-systeem zijn gecategoriseerd aan het licht te brengen. Zoals in fase 2 wordt er ook in deze fase voor elke kwetsbaarheid een proof of concept opgesteld.

Verification & exploitation
De kwetsbaarheden, die aan de hand van het CWE-systeem in het testplan zijn opgenomen, worden gevalideerd en indien aanwezig ook geëxploiteerd. Aan het eind van deze fase wordt voor elke kwetsbaarheid een proof of concept opgesteld.

In overleg met de klant worden de onderzoeksvragen en de scope vastgesteld. Vervolgens wordt bepaald op welke categorieën van het Common Weakness Enumeration-systeem (CWE) het onderzoekobject getest zal worden. Het CWE-systeem wordt gebruikt om kwetsbaarheden in de software te verdelen in verschillende categorieën. Door te bepalen welke specifieke categorieën getest moeten worden, kan de test doelgerichter en gestructureerder uitgevoerd worden. Aan het eind van deze fase wordt alles vastgelegd in een testplan.