Overleg gebruiker:Jaap de graaff

Pagina-inhoud wordt niet ondersteund in andere talen.
Onderwerp toevoegen
Uit Wikipedia, de vrije encyclopedie
Laatste reactie: 1 jaar geleden door Wikiwerner in het onderwerp Recept penetratietest
Hallo Jaap de graaff, en welkom op de Nederlandstalige Wikipedia!
Vlag van Verenigd Koninkrijk Welcome message in English

Hartelijk dank voor je belangstelling voor Wikipedia! We werken hier aan het ideaal van een vrij beschikbare, vrij bewerkbare, volledige en neutrale gemeenschapsencyclopedie. We waarderen het enorm als ook jij hieraan wilt bijdragen!

De Nederlandstalige Wikipedia is sinds 19 juni 2001 online en telt inmiddels 2.157.524 artikelen. In de loop van de jaren zijn er voor het schrijven of bewerken van artikelen en voor de onderlinge samenwerking een aantal uitgangspunten en richtlijnen geformuleerd. Neem die als nieuwkomer ter harte. Lees ook eerst even de informatie in dit venster voordat je aan de slag gaat. Geen van de richtlijnen heeft kracht van wet, want Wikipedia is en blijft vóór alles vrij bewerkbaar, maar een beetje houvast voordat je in het diepe springt kan nooit kwaad.

Deze pagina, die nu op je scherm staat, is trouwens je persoonlijke overlegpagina, de plaats waar je berichten van andere Wikipedianen ontvangt en ze kunt beantwoorden. Iedere gebruiker heeft zo'n pagina. Wil je een nieuw overleg met iemand anders beginnen, dan kan dat dus op zijn of haar overlegpagina. Sluit je bijdragen op overlegpagina's altijd af met vier tildes, dus zo: ~~~~. Een druk op de handtekeningknop (zie afbeelding) heeft hetzelfde effect: je bericht wordt automatisch ondertekend met je gebruikersnaam en de datum en tijd waarop je je boodschap voltooide. Versturen doe je met de knop "Wijzigingen publiceren".

Drummingman (overleg) 15 feb 2022 21:57 (CET)Reageren

Recept penetratietest[brontekst bewerken]

Laatste bericht: 1 jaar geleden17 berichten4 personen in overleg

Het recept dat u daar toevoegde, is dubbelop met wat direct erboven staat. Ik heb het daarom wederom weggehaald. Ook vermoed ik dat u een conflict of interest heeft, zowel door de schrijfstijl en doordat het het nagenoeg enige lemma is dat u bewerkt hebt. Als u betaald wordt voor uw bijdrage aan Wikipedia, dan is het verplicht om daarover openheid te geven. Wikiwerner (overleg) 10 apr 2022 21:53 (CEST)Reageren

Herhaald verzoek. U voegde nu de bron erbij. Het blijkt dus inderdaad reclame voor een van de vele aanbieders van penetratietesten. Gelieve hiermee te stoppen, want hiervoor is Wikipedia niet bedoeld. Wikiwerner (overleg) 16 feb 2023 20:42 (CET)Reageren
Ik heb het artikel hersteld in orginele staat en aangevuld met relevante content. Volgens mij komt de tekst letterlijk van de bronpagina dus volgens mij is het slechts een vermelding en geen reclame. Ik zal het nogmaals herstellen. 2A02:A457:3540:1:88C4:4736:A3A:7333 16 feb 2023 20:52 (CET)Reageren

fases en soorten pentesten is een geheel ander topic. Waarom is deze content wat u betreft hetzelfde of niet relevant? Jaap de graaff (overleg) 16 feb 2023 20:55 (CET)Reageren

U blijft het maar proberen. Ik heb het wederom ongedaan gemaakt. Morgen zal ik uitgebreider reageren. Wikiwerner (overleg) 16 feb 2023 21:36 (CET)Reageren
Ik zal het wederom terugdraaien daar ik van mening ben dat het wel degelijk een inhoudelijke toevoeging biedt aan de lezers. Ik kijk uit naar de uitgebreidere reactie! Jaap de graaff (overleg) 16 feb 2023 21:50 (CET)Reageren
Beste Jaap de graaff, ik raad u aan om eerst te zorgen dat er overeenstemming komt over uw toevoegingen, voordat u deze nogmaals plaatst. Het herhaald terugzetten van teksten heet op Wikipedia een bewerkingsoorlog en kan reden zijn voor een blokkade. Gezien uw betrokkenheid bij (vrijwel alleen) dit artikel in de afgelopen twee jaar, bent u degene die iets uit te leggen heeft, niet gebruiker:Wikiwerner of ik. Uitleg over wat Wikipedia is, geven we graag. Uitleg over waarom uw bewerking daadwerkelijk iets zou bijdragen aan de verspreiding van neutrale, verifieerbare informatie door Wikipedia zal door u gegeven moeten worden, voordat u dit nogmaals plaatst in het artikel. Met vriendelijke groet, RonnieV (overleg) 17 feb 2023 00:11 (CET)Reageren
Hi @RonnieV dank voor de feedback, ik ben inderdaad minder bekend met de processen op Wikipedia. Ondanks dat help ik graag met mijn bijdrage aan informatie waar ik wel van van weet en beperk ik mij tot (vrijwel alleen) dit artikel.
Kun je aangeven waarom de uitleg van de fasering bij uitvoering wat jou/jullie betreft hetzelfde is als de soorten testen en testmethoden?
Mijns inziens mist er nu duiding voor lezers die op zoek zijn naar het verloop van een pentest proces in algemene zin.
Mvg, Jaap de graaff (overleg) 17 feb 2023 09:13 (CET)Reageren
Beste Jaap de graaff,
Bedankt voor je reactie. Ik heb jouw bijdragen aan dit artikel, en die van anderen de afgelopen tijd, nog eens doorgenomen. Ik zie dat er door diverse accounts geprobeerd wordt om links toe te voegen naar de site van een specifieke leverancier.
Ik onderschrijf het belang van veilige websites, ik hoop dat mijn informatie die ik her en der achterlaat, ook veilig is. Dat er bugs in software zitten, maar ook dat gebruikers soms te makkelijk toegang geven tot belangrijke stukken van een website (gebruikersnaam: admin, wachtwoord: admin), is bekend en zou natuurlijk zo veel mogelijk getackeld moeten worden. Ik ga er dan ook eigenlijk vanuit dat er niet alleen commerciële aanbieders van deze specifieke diensten zijn, die daarover schrijven, maar ook algemenere sites. Wikipedia is geen bedrijvengids, maar geeft neutrale en onafhankelijke informatie. Een pagina bij een belangenvereniging, zoals in dit geval https://cyberveilignederland.nl/ , zal doorgaans meer informatiegericht en minder verkoopgericht zijn, dan een link op een site van een van de aanbieders van deze dienst (je kan zelf wel een aantal namen invullen). Wikipedia is er niet om deze aanbieders van een inkomende link te voorzien.
Wat betreft de fasering, er zijn verschillende manieren om dit te faseren. Op de Engelse Wikipedia zie ik bijvoorbeeld 1. Reconnaissance, 2. Scanning, 3. Gaining access, 4. Maintaining access, 5. Covering tracks; anderen hebben het over zeven stappen. Op zich denk ik dat een beschrijving van wat er zoal gebeurt bij een pentest best iets kan toevoegen. Misschien zelfs voordat de Black/Grey/White-beschrijving gegeven wordt, omdat dat de lezer ook helpt om te begrijpen waarom een black box test anders werkt (zo moet de pentester zelf op zoek naar gebruikersnamen, naar gebruikte programma's en modules,...), dan een white box test, waarbij vooraf volledige openheid wordt gegeven. Maar ik lees hierboven dat Wikiwerner ook wil reageren op dit onderdeel.
Kan jij ons uitleggen waarom je van mening bent dat pentest, penetratietest, pentester,... met een hoofdletter geschreven zouden moeten worden in een lopende zin?
Met vriendelijke groet, RonnieV (overleg) 17 feb 2023 12:30 (CET)Reageren
Ik vind het wel degelijk dubbelop. Uw toegevoegde recept heeft het over het 'Verzamelen van informatie'; dit is dubbelop met de informatie bij 'Black box' ("Bij black box pentesten krijgt de pentester vooraf beperkte informatie om binnen de scope te testen zoals IP-adressen of een URL"), 'Grey box' ("De tester krijgt voorafgaand de test beperkte informatie over het netwerk en achterliggende systemen, en een gebruikersaccount in het systeem of applicatie.") Uw volgende stap, 'Verkenning', is dubbelop met 'Black box' ("en moet verder door middel van eigen kennis en apparatuur de IT-omgeving kraken."). Dan komt 'Ontdekken en scanning'; dit staat al bij 'White box' ("is een methode waarbij de tester volledige toegang krijgt tot het netwerk, en onder meer broncode en architectuurdiagrammen kan inkijken en gevorderde rechten krijgt binnen het netwerk."), dus het is duidelijk dat een hacker daar zelf naar kan/moet zoeken bij de black box en grey box. 'Kwetsbaarhedenscans (Vulnerability Assessment)' staat al een op een verderop bij 'Vulnerability scan'. Uw kopje 'Uitbuiten kwetsbaarheden' is de daadwerkelijke aanval. Het is een open deur dat deze gaat plaatsvinden. Ten slotte komt nog het rapport. Dit is geen onderdeel van de daadwerkelijke aanval. Ook is dit een open deur. Stel je voor dat een aanbieder dat niet doet: "We zijn binnen geweest, maar we vertellen niet hoe."
Bovendien is de bron een van de aanbieders. Is dit representatief voor hoe een pentest gemiddeld genomen verloopt, zoals ook RonnieV aangaf? Wikiwerner (overleg) 17 feb 2023 21:12 (CET)Reageren
Ik snap de verwarring met de soorten pentesten (black-, grey- whitebox), echter volgt iedere pentest voorgedefinieerde fases los van het soort pentest. Het soort pentest heeft te maken met de vooraf verstrekte informatie terwijl de voorgedefineerde fases altijd (moeten) worden gevolgd om geen zaken te missen. Verzamelen van informatie, Verkenning, Ontdekken en scanning, Kwetsbaarhedenscans is dus iets wat altijd zal plaatsvinden, de aanname dat "Ontdekken en scanning" (als voorbeeld) alleen tijdens een whitebox pentest plaatsvind is onjuist. Uitbuiten van kwetsbaarheden is iets wat enkel in het geval van een pentest zal gebeuren ten opzichte van een security test waarbij de gevonden kwetsbaarheden niet worden/mogen uitgebuit, tijdens deze fase van een pentest zal worden gekeken wat de daadwerkelijke technische impact van een gevonden kwetsbaarheid is. Het maken van een rapport is sterk afhankelijk van het type uitgevoerde security test en inderdaad niet altijd in dezelfde vorm benodigd. In het geval van een pentest (waar dit artikel over gaat) volgens het meest gebruikte uitvoeringskader (OWASP WSTG) is rapportage dan ook een losse fase. Uiteraard zijn de te volgen fases wel afhankelijk van het kader dat wordt gehanteerd. Zoals @RonnieV ook aangeeft is het wellicht goed om de Engelse Wikipedia pagina hierop na te slaan, die juist de beschrijving van fases laat prevaleren boven het feit dat de test black grey of whitebox is. In principe hanteert iedere aanbieder een norm om gelijkwaardige output te krijgen, OWASP ASVS als standaard en OWASP WSTG als testnorm zijn de meest gehanteerde en daarmee in mijn ogen representatief voor hoe een pentest gemiddeld genomen verloopt, waarom ben jij van mening dat we dit dan niet zouden moeten vermelden @Wikiwerner ?
Wat bedoel je met de bron is een van de aanbieders? Volgens mij gaat dit over het stukje verschil tussen een pentest of vulnerability scan en niet de fases. Zoals RonnieV terecht aangeeft hebben we met CVN een woordenboek opgesteld om, onder andere, meer duidelijkheid te scheppen in de gebruikte vaktermen. Let wel dat ook in dit geval de inhoudelijke kennis van commerciële bedrijven komt, hoewel de aanname dat dit woordenboek meer informatiegericht en minder verkoopgericht is klopt.
Daarnaast merk ik dat de huidige pagina infra/netwerk en web/applicatie testen door elkaar haalt en als hetzelfde behandeld. Als voorbeeld, broncode en architectuurdiagrammen zijn een web aangelegenheid en voor een pentest op een netwerk/infra niet van toepassing, dit maakt de tekst onduidelijk voor onbekwame lezers, daar we er vanuit kunnen gaan dat het gros van de lezers juist deze doelgroep betreft. Jaap de graaff (overleg) 18 feb 2023 11:05 (CET)Reageren
Het blijft dubbelop. Uit de verschillen tussen black box, grey box en white box volgen automatisch al de te volgen stappen. Deze zijn dus soms al uitgevoerd doordat de uitvoerder voorkennis krijgt. Wat betreft de bron: je voert Onvio op; dat is een aanbieder van pentesten die het blijkbaar zo uitvoert. Doet elke aanbieder dat, omdat "de voorgedefineerde fases altijd (moeten) worden gevolgd om geen zaken te missen"? Misschien zijn er wel aanbieders die het anders doen, of sommige stappen niet doen, al dan niet met een minder goed resultaat? Wikiwerner (overleg) 18 feb 2023 13:52 (CET)Reageren
Dat de te volgen stappen automatisch uit de keuze tussen black- grey en whitebox volgen (en het daarmee dubbelop zou zijn) is echt te kort door de bocht. Met die redenering zou je bepaalde stappen van de pentest in uw ogen dus overslaan omdat deze al zijn aangeleverd?
Er zullen ongetwijfeld verschillende aanbieder zijn die het op verschillende manieren aanbieden, of de aanbieder die je hier linkt het op deze manier uitvoert zou ik niet weten. Wel weet ik dat WSTG een testnorm is die door veel partijen wordt gehanteerd.
Een stap als Reconnaissance en Scanning kun je onmogelijk overslaan en is niet hetzelfde als een vulnerability scan.
Black- Grey- Whitebox is de testvorm, dit staat los van de testmethodiek die gevolgd zal worden. Dat aanbieders het al dan niet anders doen dan de norm is wat mij betreft voor een algemene pagina als dit niet relevant? Jaap de graaff (overleg) 18 feb 2023 14:06 (CET)Reageren
Wat betreft het eerste: Ja, wat je aangeleverd krijgt, hoef je niet opnieuw te doen. Als dat anders zit, dan wordt dat niet duidelijk uit uw toevoeging.
De naam WSTG werd en wordt nergens genoemd in het artikel, noch in de bron van Onvio. Als dit een gangbare en geaccepteerde werkwijze is, dan is dat vermeldenswaardig, net als bijv. de BOVAG-garantie op auto's. Dan is er ook vast wel een branchevereniging die dat bepaald heeft en waar de aanbieders lid van zijn. Dit kunt u niet stellen met alleen Onvio als bron.
Ik heb niet beweerd dat Reconnaissance en Scanning hetzelfde is als een vulnerability scan. Dit geldt wel voor de Kwetsbaarhedenscans (Vulnerability Assessment): verderop staat al het kopje Vulnerability scan. Wikiwerner (overleg) 20 feb 2023 20:41 (CET)Reageren
Er vanuit gaand dat we een neutrale bron vinden voor de onderscheiden stappen (bijvoorbeeld OWASP of Cyberveilig Nederland), is het dan niet beter om eerst de stappen te beschrijven (sommige verplicht, andere optioneel) en pas daarna te beginnen over black, grey en white? Als mijn beeld correct is, zal bij een white box test het accent minder liggen op het vinden van toegang tot het systeem (de hacker krijgt immers veel informatie aangeleverd), maar meer op de kwetsbaarheden. Tegelijkertijd zal de hacker natuurlijk beoordelen of alle informatie is aangeleverd en of er geen andere mogelijkheden zijn (de bekende geitenpaadjes waarmee het systeem alsnog ontsloten kan worden. (Zie WSTG Stable, zoek 'Magic parameters')
Ander punt: het artikel heeft het heel algemeen over computersystemen. ASVS en WSTG richten zich specifiek op webapplicaties. Is onze definitie te ruim, of zijn deze standaarden niet zaligmakend voor andere dan webapplicaties?
Met Wikiwerner ben ik het eens dat het noemen van WSTG en andere standaarden beter passen in het artikel dan een link naar een enkele leverancier. Met vriendelijke groeten, RonnieV (overleg) 21 feb 2023 12:05 (CET)Reageren
@Wikiwerner "Ja, wat je aangeleverd krijgt, hoef je niet opnieuw te doen." dat is onjuist, in ieder type onderzoek doorloop je alle fases om onafhankelijk te toetsen.
De referentie/bron in het artikel was niet nav de WSTG, maar nav het verschil tussen pentesten en scannen. Voor WSTG zou je denk ik het beste OWASP kunnen linken, omdat die de bouwers/maintainers zijn, hier heeft CVN als brancheorganisatie niks mee te maken. BOVAG-garantie is een lastige vergelijking, hier moet worden voldaan aan een bepaalde werkwijze/checklist (ik ben geen autospecialist of garage) die je vervolgens kunt vergelijken tussen verschillende garages. Voor een Pentest is het niet zo zwart wit. Op deze pagina zou mijn inziens het verschil moeten worden uitgelegd tussen een scan en een handmatig proces. Verder lijkt het mij relevant om de verschillende stappen toe te lichten van een Pentest. Dit zijn twee verschillende dingen en hier zouden we dan ook het beste 2 losse alinea's aan moeten toebedelen, eens?
@RonnieV het is misschien beter om eerst het verschil tussen black/grey/whitebox uit te leggen en vervolgens de stappen die worden gevolgd. Met een whitebox test zal inderdaad altijd óók nog black en greybox worden gekeken naar bijvoorbeeld een webapplicatie. In het geval van een webapplicatie krijg je met whitebox vaak toegang tot broncode/infrastructuur om zo nóg dieper verborgen kwetsbaarheden te kunnen vinden. Maar het is niet zo dat je dan alleen maar vanuit de code op zoek gaat, het geeft je slechts een beter/vollediger beeld van de situatie en stelt de pentester in staat om lastiger te vinden kwetsbaarheden bloot te leggen. Jaap de graaff (overleg) 9 mrt 2023 16:58 (CET)Reageren
Laat maar zien hoe je het in gedachten hebt, zolang het verschil maar duidelijk is en er onafhankelijke bronnen zijn die de toevoegingen staven, dus geen individuele aanbieders. Wikiwerner (overleg) 11 mrt 2023 16:23 (CET)Reageren
Overgenomen van "https://nl.wikipedia.org/w/index.php?title=Overleg_gebruiker:Jaap_de_graaff&oldid=63971655"