Teil 2 – Vorbereitung & Setup

von

Stefan
in , ,

Kurzüberblick: Warum Vorbereitung so wichtig ist

Bevor du beginnst, solltest du zwei Dinge sicher haben: legales Testen (nur mit Erlaubnis bzw. im Scope) und eine reproduzierbare, sichere Arbeitsumgebung. Gute Vorbereitung schützt dich rechtlich, macht deine Arbeit effizienter und erhöht die Chance, dass ein Fund anerkannt und belohnt wird.

Rechtliche Grundlagen & Verhaltensregeln

Diese Grundsätze sind nicht optional:

  • Nur im Scope arbeiten. Programme geben klar an, welche Domains/Assets zulässig sind. Alles andere ist verboten.
  • Keine Daten kopieren oder veröffentlichen. Reproduzierbare Nachweise genügen; private Daten gehören niemals in einen Report oder in die Öffentlichkeit.
  • Responsible Disclosure. Melde über den vorgesehenen Kanal (Plattform oder Direktkontakt). Warte mit öffentlicher Disclosure, bis das Unternehmen frei gibt.
  • Kein Schaden verursachen. Keine DoS-Tests, keine Manipulation von Kundendaten, keine Social-Engineering-Angriffe ohne ausdrückliche Erlaubnis.
  • Dokumentation und Transparenz. Halte Exploit-Schritten, Zeitstempel und Tools fest — das schützt dich und hilft beim Triage.

Wenn du unsicher bist, frag lieber nach: Viele Programme bieten Kontaktadressen für rechtliche Fragen oder „safe harbor“-Hinweise.

Mindset & Arbeitsweise

  • Problemlöser statt „Exploit-Jäger“: Konzentriere dich darauf, wie ein Fehler entsteht und wie er behoben werden kann.
  • Schritt für Schritt: Führe kleine, reproduzierbare Tests durch und dokumentiere jeden Schritt.
  • Neugier + Systematik: Beobachte Muster (z. B. wiederkehrende Header, Parameter, Session-Handling). Routine schlägt Glück.
  • Geduld: Viele Schwachstellen entstehen aus komplexen Abläufen — diese zu verstehen braucht Zeit.

Sichere Testumgebung einrichten

Arbeite zuerst in einer kontrollierten Umgebung, bevor du echte Programme anfasst.

  1. Separate Arbeitsmaschine: Ein Laptop/PC für Forschung, idealerweise mit Virtualisierung (VirtualBox / VMware / Hyper-V).
  2. Virtuelle Maschinen (VMs): Erstelle VMs für Angriffs- und Analysewerkzeuge sowie für Opfer-Systeme. Snapshots ermöglichen schnelles Zurücksetzen.
  3. Docker: Für viele Übungsumgebungen (z. B. Juice Shop) ist Docker ideal — leicht zu starten, sauber zu entfernen.
  4. Isoliertes Netzwerk: Nutze Host-Only-Netzwerke für interne Tests, um unbeabsichtigte Verbindungen ins echte Netz zu vermeiden.
  5. Notebooks & Backups: Sorge dafür, dass deine Notizen versioniert und gesichert sind (z. B. lokale Kopien + verschlüsselte Cloud-Backups, wenn nötig).

Grundausstattung an Tools (kostenfrei & praktikabel)

Hier eine kompakte Toolbox mit Tools, die sich in der Praxis bewährt haben. Für jedes Tool eine kurze Erklärung, wofür du es einsetzt.

  • Browser & Addons
    • Chromium/Firefox (Developer Tools): Basis für manuelle Tests, Inspection und Debugging.
    • Addons: HTTP Header Viewer, Request-Modifier (z. B. ModHeader), Web Developer.
  • Proxy / Interception
    • Burp Suite Community: Intercept, Repeater, Proxy; ideal für manuelle Web-Tests (Kostenlos, aber eingeschränkte Funktionen gegenüber Pro).
    • OWASP ZAP: Alternative zu Burp, sehr mächtig und vollständig Open Source.
  • Recon & Mapping
    • Nmap: Portscan und Service-Erkennung.
    • Amass / Subfinder: Subdomain-Enumeration (für Übungszwecke auf eigenen Domains / genehmigten Scopes).
    • Shodan: Suchmaschine für vernetzte Geräte (nur lesen, nicht scannen).
  • Fuzzing / Parameterprüfung
    • ffuf: Schneller Web-Fuzzer für Verzeichnisse und Parameter.
    • wfuzz: Alternative zum gezielten Fuzzing.
  • Automatische Scanner (vorsichtig einsetzen)
    • Nikto, OWASP ZAP Scanner: Gut für schnelle Checks, aber nie blind betreiben — automatisches Scannen kann schädlich sein und ist oft in Programmen eingeschränkt.
  • Scripting & Hilfswerkzeuge
    • Python: Für kleine Scripts, Request-Automatisierung (Requests, urllib).
    • bash / curl / jq: Nützlich für API-Tests und schnelle Checks.
  • Mobile & API
    • mitmproxy: Proxy für Mobile/HTTPs-Analyse.
    • Postman: API-Exploration, einfache Tests.
  • Reverse Engineering / Binary (falls du später dazukommst)
    • Ghidra / radare2 / Cutter: Open-Source Tools für Binäranalyse.
  • Lernumgebungen
    • OWASP Juice Shop: Web-App mit vielen Schwachstellen, ideal für Übungen.
    • Damn Vulnerable Web App (DVWA): Klassiker zum Üben von XSS, SQLi usw.
    • TryHackMe / HackTheBox (free tiers): Interaktive Labs und strukturierte Lernpfade.
  • Dokumentation & Reporting
    • Obsidian / CherryTree / Joplin: Notizen, Snippets und Repro-Steps.
    • Screenshots (FAST): Greife auf standardisierte Dateinamen und Ordnerstruktur zurück.

Konkreter Setup-Plan (in 6 Schritten)

  1. Installiere VirtualBox oder eine vergleichbare VM-Software.
  2. Richte eine Linux-VM (z. B. Kali, Parrot oder eine leichte Ubuntu) als Arbeitsumgebung ein.
  3. Starte eine zweite VM mit Juice Shop oder DVWA via Docker.
  4. Installiere Burp Suite Community und einen Browser mit passenden Addons.
  5. Lege ein Notiz-Template an: Ziel, Datum, Scope, Schritte zur Reproduktion, Screenshots, Dateinamen.
  6. Übe: Öffne Juice Shop und finde mit Proxy, Repeater und DevTools einfache XSS/SQLi-Beispiele.

Erste Übungen (sicher & sinnvoll)

  • Aufgaben:
    1. Starte Juice Shop und dokumentiere, wie du eine einfache XSS über ein Formular reproduzierst.
    2. Führe ein Nmap-Scan innerhalb deiner Test-VM durch und notiere die entdeckten Services.
    3. Schreibe einen kurzen Report (1 Seite) mit Titel, betroffenen Endpoint, Repro-Steps, PoC (Screenshots), Schweregrad-Einschätzung.

Diese Übungen trainieren grundlegende Abläufe: Recon, Test, Dokumentation, Report.

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert