Bewertungsanforderung für Penetrationstest erstellen (vor v19.0)

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Initiieren Sie eine Penetrationstest-Bewertungsanforderung für Ihre Webanwendungen oder APIs. Diese Anforderungen werden an das Team für ethisches Hacken übermittelt, das dann diese Anwendungen testet und die Ergebnisse der Penetrationstests manuell meldet.

    Vorbereitungen

    Erforderliche Rolle: App-Sec-Manager

    Warum und wann dieser Vorgang ausgeführt wird

    Der Anwendungsbesitzer stellt eine Bewertungsanforderung für einen Penetrationstest, um seine Anwendung oder APIs manuell zu scannen. Das Team für ethisches Hacken testet die Anwendung und erstellt manuell die Ergebnisse der Penetrationstests. Bei diesen Ergebnissen handelt es sich um manuell erstellte angreifbare Elemente in Anwendungen (Application Vulnerable Items, AVIs).

    Die Standardzuweisungsgruppe für das Penetrationstestergebnis ist die Gruppe, die im Feld „Anwendungsteam“ der zugehörigen Penetrationstestbewertungsanforderung konfiguriert ist. Der Zuweisungstyp des Penetrationstestergebnisses ist Manuell. Die Zuweisungsregeln können die Zuweisung dieser Penetrationstestergebnisse nicht überschreiben.

    Ab v19.0 können Sie Bewertungsanforderungen für Penetrationstests direkt in der Tabelle „Bewertungsanforderungen für Penetrationstests“ [sn_vul_pen_test_assessment_request_list] erstellen. Weitere Informationen finden Sie unter Bewertungsanforderung für Penetrationstest aus vorhandenen Anforderungen erstellen (v19.0).

    Prozedur

    1. Vor v19.0 navigieren Sie mit zu Alle > Self-Service > Servicekatalog > Services > Anforderung für Penetrationstestbewertungan.
    2. Wahlweise: Alternativ können Sie eine Anforderung erstellen, indem Sie geschlossene Anforderungen replizieren.
      Alle Werte aus der ursprünglichen Anforderung werden beibehalten. Aktive angreifbare Elemente in der Anwendung (Application Vulnerable Items, AVIs) werden automatisch in die neue Anforderung kopiert.
    3. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Formular „Bewertungsanforderung für Penetrationstests“.
      Feld Beschreibung
      Nummer Eindeutiger Bezeichner, der für die Penetrationstest-Bewertungsanforderung generiert wurde.
      Angefordert von Person, die die Bewertung der Anwendung anfordert.
      Übergeordnete Bewertungsanforderung Ursprüngliche Bewertungsanforderung für Penetrationstests, die zum Erstellen der untergeordneten Anforderung verwendet wurde. Sie wird mithilfe einer geschlossenen Bewertungsanforderung erstellt. Nur im Formular zum Anfordern der untergeordneten Bewertung sichtbar.
      Anwendung Wählen Sie mithilfe der Suchoption eine Anwendung aus.
      Anwendungstyp Wählen Sie eine Option aus:
      • Webservice (vor v16.1 als API bezeichnet)
      • Web-Anwendung
      • Thick Client
      • Mobil (Wenn Sie Mobil auswählen, wird die Registerkarte Mobil mit zusätzlichen Feldern unten im Formular angezeigt.)
      v19.0: Anwendungsgröße Wählen Sie die Größe der Anwendung aus, die Sie testen möchten.
      • Klein
      • Mittel
      • Groß
      • Standard (wählen Sie diese Option, wenn Sie sich bezüglich der Größe nicht sicher sind)
      Bewertungstyp Wählen Sie den Typ der Bewertung aus:
      • Vollständiger Penetrationstest
      • Fokussierter Test
      • Erneut testen
      Details finden Sie unter Konfigurieren Sie Bewertungstypen für Penetrationstests.
      Zweck der Anwendung Beschreibung der Funktionalität der Anwendung.
      Details des Technologiestapels Vollständiger Technologiestapel vom Front-End bis zum Back-End, Datenbanken und andere Schlüsseltechnologien.
      Ist Drittparteianwendung? Bestätigt, ob diese Anwendung im Besitz eines Drittanbieters ist.
      Listet die Arten sensibler Daten auf, auf die über die Anwendung zugegriffen werden kann. Arten vertraulicher Daten, auf die über die Anwendung zugegriffen werden kann. Zum Beispiel PII-Daten, PHI-Daten und Finanzdaten wie Kreditkartennummern.
      Authentifizierungstyp Gibt an, ob diese Anwendung die LDAP-Authentifizierung, ihre eigene native Authentifizierung oder andere Formen der Authentifizierung verwendet.
      Fällt die Anwendung unter ein Compliance-Programm? Gibt an, ob sich diese Anwendung auf Compliance-Programme wie PCI auswirkt.
      Kontakte im Anwendungsteam Mitglieder des Anwendungsteams, die vom Team für ethisches Hacken bei Fragen kontaktiert werden sollen.
      Demo-Datum Datum, an dem diese Anwendung vorgeführt werden kann.
      Produktbereitstellung geplant am Geplantes Datum für die Bereitstellung dieser Anwendung in der Produktion.
      Anwendungsversion/-release für die Bereitstellung geplant Version der Anwendung, die für die Produktionsbereitstellung geplant ist.
      v19.0: Anwendung im Besitz eines Drittanbieters oder Joint-Venture-Unternehmens Wenn Sie „Ja“ für dieses Feld auswählen, wird die Registerkarte Lieferanten-/Joint-Venture-Informationen mit zusätzlichen Feldern angezeigt.

      Der Begriff „Klausel“ kann sich auf Standards für Tests beziehen, die Vereinbarungen enthalten, die zwischen zwei oder mehr Parteien bestehen.
      Status Wählen Sie einen Wert basierend auf dem Status der Anforderung aus.
      Zuweisungsgruppe Gruppe, die für die Bearbeitung der Penetrationstestergebnisse ausgewählt wurde. Können manuell von einem App-Sec-Manager hinzugefügt oder bearbeitet werden.
      Zugewiesen an Einzelperson aus der ausgewählten Zuweisungsgruppe, die an den Ergebnissen des Penetrationstests arbeitet. Können manuell von einem App-Sec-Manager hinzugefügt oder bearbeitet werden.
      Sprint Zeigt die Sprints mit verfügbarer Bandbreite für die Bewertungsanforderung basierend auf dem ausgewählten Bewertungstypfeld an.
      Erstellt Datum und Uhrzeit der Erstellung der Anforderung.
      Teststartdatum Datum und Uhrzeit des Beginns der Prüfung
      Aktualisiert Datum und Uhrzeit der letzten Aktualisierung der Anforderung.
      Testdetails
      Zu testende URLs URLs, die in Penetrationstests einbezogen werden müssen.
      Auszuschließende URLs URLs, die von Penetrationstests ausgeschlossen werden müssen.
      Wurde diese Anwendung zuvor getestet? Gibt an, ob diese Anwendung bereits einem Penetrationstest unterzogen wurde.
      Grund für erneuten Test Grund für die Anforderung eines erneuten Penetrationstests, wenn die Anwendung zuvor getestet wurde.
      Wann wurde die Anwendung getestet? Zeitrahmen, in dem die Anwendung auf Penetration getestet wurde.
      Details des Test-Accounts Details des Test-Accounts, die vom Team für ethisches Hacken für Penetrationstests verwendet werden können.
      Anwendungsrollen Rollen, die von der Anwendung für ihre Benutzer unterstützt werden.
      Meistverwendete Rollen Die am häufigsten verwendeten Rollen in der Anwendung.
    4. Wählen Sie Absenden.
      Eine E-Mail-Benachrichtigung wird an das Team für ethisches Hacken gesendet, dass die Anforderung für die entsprechende Anwendung erstellt wurde.