Unprivilegierter Test

Ein Test ohne Kenntnis gültiger Zugangsdaten wie Benutzername oder Passwort. Ziel ist es, Schwachstellen aus der Perspektive eines externen Angreifers zu identifizieren. Unprivilegierte Tests entsprechen Black-Box-Methoden, bei denen Penetrationstester nur Informationen nutzen, die öffentlich oder durch Reconnaissance gewonnen wurden (WHOIS, Shodan, Webseiten-Scans). Solche Tests konzentrieren sich auf öffentlich zugängliche Schnittstellen (Webserver, APIs, Open Ports) und setzen Tools wie Nmap (Port-Scanning), Nikto (Web-Scanning) und DirBuster (Directory-Brute-Forcing) ein. Der Fokus liegt auf Exposed Services, unsicheren Port-Konfigurationen und Fehlkonfigurationen von VPN-Gateways. Der Outcome liefert eine realistische Einschätzung der extern sichtbaren Attack Surface und legt dar, welche Schritte erforderlich sind, um den Schutz gegenüber unprivilegierten Angreifern zu erhöhen—z. B. Implementierung von Web Application Firewalls (WAF) oder IP-Restriktionen.