Nur drei kurze Schritte, um mit automatischem Pentesting loszulegen: Login, Scan Target setup, Scanstart
Dieser Schnellstart-Artikel erklärt, wie Sie die Crashtest Security Suite einrichten, um mit automatisierten Penetrationstests loszulegen. Unser Sicherheitsscanner ist auf eine schnelle Einrichtung ausgelegt, so dass Sie Ihren ersten Scan innerhalb von 2 Minuten durchzuführen.
Schritt 1: Login
Um die Crashtest Security Suite zu nutzen, melden Sie sich mit Ihren Benutzerdaten unter https://www.crashtest.cloud an. Sie werden automatisch auf die Scan Target Erstellen Seite weitergeleitet. Sollten Sie jemals ein leeres Dashboard sehen. Klicken Sie auf den Plus Button, um Ihr erstes Scan Target zu erstellen.
Schritt 2: Ein Scan Target erstellen
Starten wir nun mit dem ersten Scan Target:
Scan Target type definieren
Zuerst können Sie die Art des Scan Targets definieren, das gescannt werden soll.
Sie können wählen zwischen:
- Multi Page Application
Eine traditionelle Anwendung, die mit einer serverseitigen Programmiersprache geschrieben wurde. Diesen Fall werden wir im Schnellstart durchgehen. - JavaScript Application
Eine Webanwendung, welche JavaScript als Client Sprache verwendet. Dies sind häufig Webseiten, welche Daten asynchron nachladen (AJAX) sowie Single Page Anwendungen (SPAs) - Application Programming Interface (API)
Eine REST-API. Für diese Art von Projekt benötigen Sie eine Swagger 2.0 oder OpenAPI v3-Datei, die die API für das korrekte Scannen beschreibt. Mehr Informationen zum API-Scannen gibt es hier.
Wenn Sie Hilfe bei der Einrichtung benötigen, können Sie sich jederzeit an unseren Support wenden, um eine spezifische Beratung zu Ihrer Situation zu erhalten.
Scan Target details definieren
Anschließend definieren Sie die grundlegenden Informationen zu Ihrem Projekt:
- Title
Der Name des Scan Target, der im Dashboard und PDF-Bericht angezeigt wird. - Description
Optionaler Text zur besseren Identifizierung Ihres Scan Target. - Protocol
Das Protokoll, das zum Scannen Ihres Scan Target verwendet wird (z.B. "http" / "https"). - URL
Der Domain-Name oder die IP-Adresse des Scan Target. Die Sicherheitsscanner führen alle Tests auf dieser URL durch.
Projektumfang einstellen
Als nächstes definieren Sie den Umfang des Scans, den wir durchführen sollen.
- "Quick Scan"
Diese Einstellung stellt sicher, dass nur nicht-invasive Scanner ausgeführt werden. Hier können Sie Ihre Produktiv-Webseiten testen. - "Full Scan"
Diese Wahl aktiviert alle Sicherheitsscanner und sollte nur auf leicht reproduzierbaren Staging-Systemen ohne Kundendaten durchgeführt werden.
Bitte beachten Sie, dass unsere Scanner zu testende Systeme beeinträchtigen können. Diese Beeinträchtigungen können (sind aber nicht beschränkt auf) Folgendes beinhalten: - Senden von beliebigen Formularanfragen, die Datenbanken mit zufälligen Daten belasten können.
- Workload Peaks, die die Benutzerfreundlichkeit für andere Nutzer beeinträchtigen können, wenn mehrere Anfragen gleichzeitig ausgeführt werden (dies können Sie über die Einstellung "Throtteling" anpassen).
- Veröffentlichung von Produktionsdaten (die möglicherweise vertrauliche Kundendaten enthalten) durch die Änderung von SQL-Datenbankanforderungen.
Eine vollständige Liste aller Sicherheitsscanner und eine Übersicht, unter welcher Einstellung sie verwendet werden, finden Sie in der vollständigen Liste der Scanner.
Schritt 3: Den Scan starten
...Und wir sind fast fertig! Nach der Erstellung des Projekts erscheint dieses in der Projektliste auf Ihrem Dashboard.
Jetzt sind wir bereit, Ihren ersten Scan zu starten. Klicken Sie dafür einfach auf "Start".
Alternativ können Sie auch die Projektseite öffnen und dort "Start Scan" klicken.
Falls Sie Feedback jeglicher Art haben, positiv oder negativ, schreiben Sie uns bitte.
Fröhliches automatisiertes Pentesting!
Wir hoffen, dass Sie diesen Schnellstart-Artikel nützlich fanden. Als nächstes helfen wir Ihnen, Ihre Scanergebnisse zu interpretieren.