Penetrationstestbewertungsanforderung erstellen (vor v19.0)

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Initiieren Sie eine Penetrationstestbewertungsanforderung für Ihre Webanwendungen oder APIs. Diese Anforderungen werden an das Ethical Hacking-Team übermittelt, das dann diese Anwendungen testen und die Ergebnisse der Penetrationstests manuell melden kann.

    Vorbereitungen

    Erforderliche Rolle: App-Sec-Manager

    Warum und wann dieser Vorgang ausgeführt wird

    Der Anwendungsbesitzer stellt eine Penetrationstestbewertungsanforderung, um seine Anwendung oder APIs manuell zu scannen. Das Ethical Hacking-Team testet die Anwendung und erstellt manuell Penetrationstestergebnisse. Diese Ergebnisse sind manuell erstellte angreifbare Anwendungselemente (Avis).

    Die Standardzuweisungsgruppe für das Penetrationstestergebnis ist die Gruppe, die im Feld „Anwendungsteam“ der zugehörigen Penetrationstestbewertungsanforderung konfiguriert ist. Der Zuweisungstyp des Penetrationstestergebnisses ist manuell. Die Zuweisungsregeln können die Zuweisung dieser Penetrationstestergebnisse nicht überschreiben.

    Ab v19.0 können Sie Penetrationstestbewertungsanforderungen direkt aus der Tabelle Penetrationstestbewertungsanforderungen [sn_vul_Pen_Test_assessment_Request_list] erstellen. Weitere Informationen finden Sie unter Penetrationstestbewertungsanforderung aus vorhandenen Anforderungen erstellen (v19.0).

    Prozedur

    1. Navigieren Sie vor v19.0 Bis Alle > Self-Service > Servicekatalog > Services > Anforderung für Penetrationstestbewertungan.
    2. Wahlweise: Alternativ können Sie eine Anforderung erstellen, indem Sie geschlossene Anforderungen replizieren.
      Alle Werte aus der ursprünglichen Anforderung werden beibehalten. Aktive angreifbare Anwendungselemente (Avis) werden automatisch in die neue Anforderung kopiert.
    3. Füllen Sie im Formular die Felder aus.
      Tabelle : 1. Formular „Bewertungsanforderung für Penetrationstests“
      Feld Beschreibung
      Anzahl Eindeutiger Bezeichner, der für die Anforderung zur Bewertung des Penetrationstests generiert wurde.
      Angefordert von Person, die die Bewertung der Anwendung anfordert.
      Übergeordnete Bewertungsanforderung Ursprüngliche Anforderung zur Bewertung von Penetrationstests, die zum Erstellen der untergeordneten Anforderung verwendet wurde. Sie wird mithilfe einer geschlossenen Bewertungsanforderung erstellt. Nur im Formular „Anforderung für untergeordnete Bewertungen“ sichtbar.
      Anwendung Wählen Sie mithilfe der Suchoption eine Anwendung aus.
      Anwendungstyp Wählen Sie eine Option aus:
      • Webservice (bekannt als API vor v16.1)
      • Web-Anwendung
      • Thick Client
      • Mobil (wenn Sie mobil auswählen, wird die Registerkarte Mobile am unteren Rand des Formulars mit zusätzlichen Feldern angezeigt)
      V19.0: Anwendungsgröße Wählen Sie die Größe der Anwendung aus, die Sie testen möchten.
      • Klein
      • Mittel
      • Groß
      • Standard (wählen Sie diese Option aus, wenn Sie sich über die Größe nicht sicher sind)
      Bewertungstyp Wählen Sie den Typ der Bewertung aus:
      • Vollständiger Penetrationstest
      • Fokussierter Test
      • Erneut testen
      Details finden Sie unter Konfigurieren Sie Bewertungstypen für Penetrationstests.
      Zweck der Anwendung Beschreibung der Funktionalität der Anwendung.
      Details des Technologiestapels Komplettieren Sie den Technologiestapel vom Front-End bis zum Back-End, Datenbanken und andere Schlüsseltechnologien.
      Ist Drittpartei-Anwendung? Bestätigt, ob diese Anwendung im Besitz eines Drittlieferanten ist.
      Listet die Arten sensibler Daten auf, auf die über die Anwendung zugegriffen werden kann. Typen vertraulicher Daten, auf die über die Anwendung zugegriffen werden kann. Zum Beispiel personenbezogene Daten, PHI-Daten und Finanzdaten wie Kreditkartennummern.
      Authentifizierungstyp Gibt an, ob diese Anwendung LDAP-Authentifizierung, eine eigene native Authentifizierung oder andere Authentifizierungsformen verwendet.
      Fällt die Anwendung unter ein Compliance-Programm? Gibt an, ob sich diese Anwendung auf Compliance-Programme wie PCI auswirkt.
      Kontakte im Anwendungsteam Mitglieder des Anwendungsteams, die vom Team für ethische Hacker bei Fragen kontaktiert werden sollen.
      Demo-Datum Datum, an dem diese Anwendung demonstriert werden kann.
      Produktbereitstellung geplant am Geplantes Datum für die Bereitstellung dieser Anwendung in der Produktion.
      Anwendungsversion/-release für die Bereitstellung geplant Version der Anwendung, die für die Produktionsbereitstellung geplant ist.
      V19.0: Anwendung im Besitz eines Drittanbieters oder eines Joint Ventures Wenn Sie für dieses Feld Ja auswählen, wird die Registerkarte Lieferanten-/Joint Venture-Informationen mit zusätzlichen Feldern angezeigt.

      Der Begriff „Klausel“ kann sich auf Standards für Tests beziehen, die alle Vereinbarungen zwischen zwei oder mehr Parteien umfassen.
      Status Wählen Sie einen Wert basierend auf dem Status der Anforderung aus.
      Zuweisungsgruppe Gruppe ausgewählt, um die Penetrationstestergebnisse zu bearbeiten. Kann manuell von einem App-Sec-Manager hinzugefügt oder bearbeitet werden.
      Zugewiesen an Einzelperson aus der ausgewählten Zuweisungsgruppe, die an den Penetrationstestergebnissen arbeitet. Kann manuell von einem App-Sec-Manager hinzugefügt oder bearbeitet werden.
      Sprint Zeigt die Sprints mit verfügbarer Bandbreite an, um die Bewertungsanforderung basierend auf dem Feld „ausgewählter Bewertungstyp“ zu erfüllen.
      Erstellt Datum und Uhrzeit der Erstellung der Anforderung.
      Teststartdatum Datum und Uhrzeit des Testbeginns.
      Aktualisiert Datum und Uhrzeit der letzten Aktualisierung der Anforderung.
      Testdetails
      Zu testende URLs URLs, die in Penetrationstests einbezogen werden müssen.
      Auszuschließende URLs URLs, die von Penetrationstests ausgeschlossen werden müssen.
      Wurde diese Anwendung zuvor getestet? Gibt an, ob diese Anwendung bereits Penetrationstests unterzogen wurde.
      Grund für erneuten Test Grund für die Anforderung einer Neubewertung des Penetrationstests, wenn die Anwendung zuvor getestet wurde.
      Wann wurde die Anwendung getestet? Zeitrahmen, in dem die Anwendung Penetrationstests durchgeführt wurde.
      Details des Test-Accounts Details des Test-Accounts, der vom Ethical Hacking-Team für Penetrationstests verwendet werden kann.
      Anwendungsrollen Rollen, die von der Anwendung für ihre Anwender unterstützt werden.
      Meistverwendete Rollen Am häufigsten verwendete Rollen in der Anwendung.
    4. Wählen Sie Absenden.
      Eine E-Mail-Benachrichtigung wird an das ethische Hacking-Team gesendet, dass die Anforderung für die entsprechende Anwendung erstellt wurde.