Penetrationstest-Bewertungsanforderung erstellen (vor v19.0)

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Initiieren Sie eine Penetrationstest-Bewertungsanforderung für Ihre Webanwendungen oder APIs. Diese Anforderungen werden an das Team für ethisches Hacken übermittelt, das dann diese Anwendungen testet und die Ergebnisse der Penetrationstests manuell meldet.

    Vorbereitungen

    Erforderliche Rolle: App-Sec-Manager

    Warum und wann dieser Vorgang ausgeführt wird

    Der Anwendungsbesitzer löst eine Penetrationstest-Bewertungsanforderung aus, um seine Anwendung oder APIs manuell zu scannen. Das Team für ethisches Hacken testet die Anwendung und erstellt manuell Penetrationstestergebnisse. Bei diesen Ergebnissen handelt es sich um manuell erstellte angreifbare Elemente (AVIs).

    Die Standardzuweisungsgruppe für das Penetrationstestergebnis ist die Gruppe, die im Feld „Anwendungsteam“ der zugehörigen Penetrationstest-Bewertungsanforderung konfiguriert ist. Der Zuweisungstyp des Penetrationstestergebnisses ist „Manuell“. Die Zuweisungsregeln können die Zuweisung dieser Penetrationstestergebnisse nicht überschreiben.

    Ab v19.0 können Sie Penetrationstest-Bewertungsanforderungen direkt aus der Tabelle „Penetrationstest-Bewertungsanforderungen“ [sn_vul_pen_test_assessment_request_list] erstellen. Weitere Informationen finden Sie unter Penetrationstest-Bewertungsanforderung aus vorhandenen Anforderungen erstellen (v19.0).

    Prozedur

    1. Navigieren Sie vor Version 19.0 zu Alle > Selfservice > Servicekatalog > Services > Anforderung für Penetrationstestbewertung.
    2. Wahlweise: Alternativ können Sie eine Anforderung erstellen, indem Sie geschlossene Anforderungen replizieren.
      Alle Werte aus der ursprünglichen Anforderung werden beibehalten. Aktive angreifbare Elemente in Anwendungen (AVIs) werden automatisch in die neue Anforderung kopiert.
    3. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Formular „Anforderung für Penetrationstestbewertung“
      Feld Beschreibung
      Nummer Eindeutiger Bezeichner, der für die Penetrationstest-Bewertungsanforderung generiert wird.
      Angefordert von Person, die die Bewertung der Anwendung anfordert.
      Übergeordnete Bewertungsanforderung Ursprüngliche Penetrationstest-Bewertungsanforderung, die zum Erstellen der untergeordneten Anforderung verwendet wurde. Sie wird mithilfe einer geschlossenen Bewertungsanforderung erstellt. Nur im untergeordneten Bewertungsanforderungsformular sichtbar.
      Anwendung Wählen Sie mithilfe der Suchoption eine Anwendung aus.
      Anwendungstyp Wählen Sie eine Option aus:
      • Webservice (bekannt als API vor v16.1)
      • Web-Anwendung
      • Thick Client
      • Mobile (Wenn Sie Mobile auswählen, wird die Registerkarte Mobile am unteren Rand des Formulars mit zusätzlichen Feldern angezeigt.)
      v19.0: Anwendungsgröße Wählen Sie die Größe der Anwendung aus, die Sie testen möchten.
      • Klein
      • Mittel
      • Groß
      • Standard (Wählen Sie diese Option aus, wenn Sie sich bezüglich der Größe nicht sicher sind.)
      Bewertungstyp Wählen Sie den Typ der Bewertung aus:
      • Vollständiger Penetrationstest
      • Fokussierter Test
      • Erneut testen
      Details finden Sie unter Konfigurieren Sie Bewertungstypen für Penetrationstests.
      Zweck der Anwendung Beschreibung der Funktionalität der Anwendung.
      Details des Technologiestapels Vollständiger Technologiestapel vom Front-End bis zum Back-End, Datenbanken und andere Schlüsseltechnologien.
      Ist Drittanbieteranwendung? Bestätigt, ob diese Anwendung einem Drittanbieter gehört.
      Listet die Arten sensibler Daten auf, auf die über die Anwendung zugegriffen werden kann. Arten vertraulicher Daten, auf die über die Anwendung zugegriffen werden kann. Zum Beispiel PII-Daten, PHI-Daten und Finanzdaten wie Kreditkartennummern.
      Authentifizierungstyp Gibt an, ob diese Anwendung die LDAP-Authentifizierung, ihre eigene native Authentifizierung oder andere Formen der Authentifizierung verwendet.
      Fällt die Anwendung unter ein Compliance-Programm? Gibt an, ob sich diese Anwendung auf Compliance-Programme wie PCI auswirkt.
      Kontakte im Anwendungsteam Mitglieder des Anwendungsteams, die vom Team für ethisches Hacken bei Fragen kontaktiert werden sollen.
      Demo-Datum Datum, an dem diese Anwendung demonstriert werden kann.
      Produktbereitstellung geplant am Geplantes Datum für die Bereitstellung dieser Anwendung in der Produktion.
      Anwendungsversion/-release für die Bereitstellung geplant Version der Anwendung, die für die Bereitstellung in der Produktion geplant ist.
      v19.0: Anwendung im Besitz eines Drittanbieters oder Joint-Venture-Unternehmens Wenn Sie für dieses Feld Ja auswählen, wird die Registerkarte Lieferanten-/Joint-Venture-Informationen mit zusätzlichen Feldern angezeigt.

      Der Begriff „Klausel“ kann sich auf Teststandards beziehen, die Vereinbarungen zwischen zwei oder mehr Parteien enthalten.
      Status Wählen Sie einen Wert basierend auf dem Status der Anforderung aus.
      Zuweisungsgruppe Gruppe, die ausgewählt wurde, um an den Ergebnissen des Penetrationstests zu arbeiten. Kann manuell von einem App-Sec-Manager hinzugefügt oder bearbeitet werden.
      Zugewiesen an Einzelperson aus der ausgewählten Zuweisungsgruppe, die an den Ergebnissen des Penetrationstests arbeitet. Kann manuell von einem App-Sec-Manager hinzugefügt oder bearbeitet werden.
      Sprint Zeigt die Sprints mit verfügbarer Bandbreite an, um die Bewertungsanforderung basierend auf dem ausgewählten Feld „Bewertungstyp“ zu erfüllen.
      Erstellt Datum und Uhrzeit der Erstellung der Anforderung.
      Teststartdatum Datum und Uhrzeit des Testbeginns.
      Aktualisiert Datum und Uhrzeit der letzten Aktualisierung der Anforderung.
      Testdetails
      Zu testende URLs URLs, die in Penetrationstests enthalten sein müssen.
      Auszuschließende URLs URLs, die von Penetrationstests ausgeschlossen werden müssen.
      Wurde diese Anwendung zuvor getestet? Gibt an, ob diese Anwendung bereits Penetrationstests unterzogen wurde.
      Grund für erneuten Test Grund für die Anforderung einer Neubewertung des Penetrationstests, wenn die Anwendung zuvor getestet wurde.
      Wann wurde die Anwendung getestet? Zeitrahmen, in dem die Anwendung Penetrationstests unterzogen wurde.
      Details des Test-Accounts Details des Test-Accounts, der vom Team für ethisches Hacken für Penetrationstests verwendet werden kann.
      Anwendungsrollen Rollen, die von der Anwendung für ihre Benutzer unterstützt werden.
      Meistverwendete Rollen Am häufigsten verwendete Rollen in der Anwendung.
    4. Wählen Sie Absenden.
      Eine E-Mail-Benachrichtigung wird an das Team für ethisches Hacken gesendet, dass die Anforderung für die entsprechende Anwendung erstellt wurde.