Vaak wordt door organisaties het bepalen van de scope voor een penetratie test onderschat. Het niet juist scopen van een opdracht kan resulteren in bijvoorbeeld een niet volledige test of dat er onvoldoende diepgang is geweest.
Het is dus van belang om een juiste scope vast te stellen tijdens het intake gesprek en dat de Ethical Hacker de juiste vragen stelt om een zo volledig beeld te hebben van de applicatie.
In het scoping gesprek wordt eerst de basis besproken waarmee een brede indruk van de applicatie kan worden verkregen alvorens men de diepte in gaat. Ook is belangrijk om achter de behoefte van een penetratie test te komen. Met deze informatie kan de Ethical Hacker specifieker vragen stellen voor het bepalen van de scope en zal de scope meer aansluiten bij de behoefte van de klant.
Onderstaande onderwerpen zijn minimaal onderdeel van het basis gesprek:
Platform vragen:
- Wat voor type applicatie is in scope (Single-page of Multi-page applicatie)
- Welke programeertaal is er gebruik voor het ontwikkelen van de applicatie.
- Welk framework(s) is/zijn er gebruikt voor zowel de front als de backend.
- Is de applicatie opensource of closedsource en/of bevat elementen hiervan.
- Wat voor type hosting platform is er gebruikt voor ontsluiting van de applicatie.
Applicatie vragen:
- Is de source code van de applicatie beschikbaar.
- Welke functionaliteit biedt de applicatie.
- Wat zijn de typische use-cases van de applicatie
- Welke verschillende gebruikers rollen zijn er in de applicatie
- Maakt de applicatie gebruik van een API services indien ja hoeveel verschillende API endpoints heeft deze API
- Zijn er screenshots van de applicatie beschikbaar
Scope vragen:
- Zijn er eisen t.a.v. bijvoorbeeld verschillende standaarden zoals OWASP of NCSC richtlijnen voor web applicatie
- Moet er met rapportage rekening worden gehouden met het interne beveiligingsbeleid.
Om tot een goede scope te komen voor een penetratie test moeten de juiste vragen worden gesteld. Ook het helder hebben van de klant behoefte zal zorg dragen voor een juiste scope.