Beispiel-Penetrationstest-Report

This is an anonymized example of our actual deliverables. See the quality and depth of our pentests.

AIQStrikeLayer

Externer Penetrationstest-Report

Ziel: example-corp.com

Klassifizierung: VERTRAULICH

Zusammenfassung

A comprehensive external penetration test was conducted on example-corp.com and its associated infrastructure. The assessment shows an overall good security posture with no critical vulnerabilities found. We identified 4 Hoch, 7 Mittel, und 11 Niedrig Befunde mit erforderlicher Aufmerksamkeit.

Kritisch

Hoch

Mittel

Niedrig

Wichtige Risikobereiche: The primary concerns include an enabled WordPress XML-RPC interface allowing amplified brute-force attacks, user enumeration via the REST API, missing security headers (HSTS, CSP, X-Frame-Options), and some email security configuration improvements needed.

Target Information

Discovered Assets

Subdomain	IP Address	Service
www.example-corp.com	185.199.108.153	WordPress CMS
mail.example-corp.com	193.70.115.172	Mailcow Email Server
cloud.example-corp.com	54.38.159.189	Nextcloud 32.0.3
api.example-corp.com	185.199.108.154	REST API (Node.js)

Domain Registration

Registrar

GoDaddy.com, LLC

Created

March 15, 2018

Expires

March 15, 2027

Name Servers

Cloudflare

Infrastructure Analysis

Open Ports & Services - Mail Server

Host: mail.example-corp.com (193.70.115.172)

Port	State	Service	Version
25/tcp	Open	SMTP	Postfix (Mailcow)
443/tcp	Open	HTTPS	nginx
993/tcp	Open	IMAPS	Dovecot
587/tcp	Open	Submission	Postfix smtpd

Technologies Detected

CMS

WordPress 6.4.2

Web Server

Apache 2.4.66

Operating System

Debian 10 (EOL)

PHP

8.1.34

Schwerwiegende Befunde

VULN-001: WordPress XML-RPC Interface Enabled HOCH

CVSS-Score 7.5 (Hoch)

Kategorie CWE-307: Improper Restriction of Excessive Authentication Attempts

Betroffenes Asset https://www.example-corp.com/xmlrpc.php

Beschreibung Die WordPress XML-RPC-Schnittstelle ist aktiviert und stellt system.multicall bereit, was 500+ Authentifizierungsversuche pro einzelner Anfrage ermöglicht—unter Umgehung des Rate-Limitings.

Nachweis

$ curl -X POST https://www.example-corp.com/xmlrpc.php -d '
<?xml version="1.0"?>
<methodCall>
  <methodName>system.listMethods</methodName>
</methodCall>'

Response includes: system.multicall, wp.getUsersBlogs, wp.getUsers...
                            

Auswirkung Credential-Brute-Forcing mit verstärkter Rate, DDoS-Verstärkung via Pingback, interne Netzwerkaufklärung via SSRF.

Behebung

# Add to .htaccess:
<Files xmlrpc.php>
  Order Deny,Allow
  Deny from all
</Files>

# Or use a security plugin to disable XML-RPC methods
                            

VULN-002: WordPress User Enumeration via REST API HOCH

CVSS-Score 5.3 (Mittel-Hoch)

Kategorie CWE-200: Exposure of Sensitive Information

Beschreibung Die WordPress REST API legt Benutzerinformationen einschließlich Benutzernamen, IDs und Slugs ohne Authentifizierung offen.

Nachweis

$ curl -s https://www.example-corp.com/wp-json/wp/v2/users | jq

[
  {"id": 1, "name": "admin", "slug": "admin", "avatar_urls": {...}},
  {"id": 2, "name": "John Smith", "slug": "jsmith"},
  {"id": 3, "name": "Sarah Jones", "slug": "sjones"}
]
                            

Auswirkung Valid usernames can be used for targeted brute-force attacks, personal information disclosure, and social engineering attack surface.

Behebung

// Add to functions.php:
add_filter('rest_endpoints', function($endpoints) {
    if (isset($endpoints['/wp/v2/users'])) {
        unset($endpoints['/wp/v2/users']);
    }
    return $endpoints;
});
                            

VULN-003: Missing HTTP Strict Transport Security (HSTS) HOCH

CVSS-Score 6.5 (Mittel-Hoch)

Kategorie CWE-319: Cleartext Transmission of Sensitive Information

Beschreibung Die Website implementiert kein HSTS, was potenzielle SSL-Stripping-Angriffe bei der ersten Verbindung ermöglicht.

Nachweis

$ curl -sI https://www.example-corp.com | grep -i strict
(No output - header missing)

# Expected header:
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
                            

Auswirkung Benutzer sind anfällig für Man-in-the-Middle-Angriffe, Cookie-Diebstahl via HTTP-Redirect-Hijacking.

Behebung

# Apache (.htaccess or config):
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

# Nginx:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
                            

Mittlere Befunde

VULN-004: Missing DKIM Email Authentication MITTEL

CVSS-Score 5.3

Beschreibung Keine DKIM-Einträge wurden für gängige Selektoren gefunden. Ohne DKIM werden E-Mails von dieser Domain eher als Spam markiert und die Domain ist anfällig für E-Mail-Spoofing.

Nachweis

# Tested selectors with no results:
$ dig +short default._domainkey.example-corp.com TXT
$ dig +short dkim._domainkey.example-corp.com TXT
$ dig +short mail._domainkey.example-corp.com TXT
$ dig +short selector1._domainkey.example-corp.com TXT
(No DKIM records found)
                            

Behebung Generieren Sie DKIM-Schlüssel in Ihrem E-Mail-Server-Admin-Panel und veröffentlichen Sie den öffentlichen Schlüssel als DNS-TXT-Eintrag.

VULN-005: DMARC Policy Set to "none" MITTEL

CVSS-Score 5.3

Beschreibung The DMARC policy is set to p=none, which only monitors but does not reject or quarantine spoofed emails.

Nachweis

$ dig +short _dmarc.example-corp.com TXT "v=DMARC1; p=none; rua=mailto:[email protected]"

Behebung

# Gradually increase policy strictness:
Phase 1: p=none; pct=100 (current - monitoring)
Phase 2: p=quarantine; pct=25 (test with 25% of mail)
Phase 3: p=quarantine; pct=100 (all mail to spam)
Phase 4: p=reject; pct=100 (full protection)
                            

VULN-006: Server Version Disclosure MITTEL

CVSS-Score 5.3

Nachweis

$ curl -sI https://www.example-corp.com | grep -E "^(Server|X-Powered)"
Server: Apache/2.4.66 (Unix)
X-Powered-By: PHP/8.1.34
                            

Behebung Konfigurieren Sie Apache mit ServerTokens Prod und deaktivieren Sie PHPs expose_php-Einstellung.

Positive Sicherheitsbefunde

Die folgenden Sicherheitskontrollen wurden als ordnungsgemäß implementiert befunden:

TLS/SSL Configuration

Setting	Status
TLS 1.0/1.1	✓ Disabled
TLS 1.2 & 1.3	✓ Enabled
Strong Ciphers	✓ AES-GCM, ChaCha20
Forward Secrecy (ECDHE)	✓ Enabled
Heartbleed (CVE-2014-0160)	✓ Not vulnerable

SPF-Eintrag konfiguriert (-all)

Zonentransfer verweigert

SMTP Open Relay Blocked

Valid SSL Certificates

Risk Matrix

Finding ID	Finding	Likelihood	Auswirkung	Risk Level
VULN-001	XML-RPC Enabled	Hoch	Hoch	HOCH
VULN-002	User Enumeration	Hoch	Mittel	HOCH
VULN-003	Missing HSTS	Mittel	Hoch	HOCH
VULN-004	Missing DKIM	Hoch	Mittel	MITTEL
VULN-005	DMARC p=none	Hoch	Mittel	MITTEL
VULN-006	Version Disclosure	Mittel	Niedrig	MITTEL

Behebungsfahrplan

Sofort (0-7 Tage)

VULN-001: WordPress XML-RPC-Schnittstelle deaktivieren oder einschränken
VULN-002: Benutzer-Enumeration über REST API blockieren
VULN-003: Implement HSTS header

Kurzfristig (7-30 Tage)

VULN-004: DKIM für E-Mail-Authentifizierung konfigurieren
VULN-005: Move DMARC policy to p=quarantine
VULN-006: Server-Versionsinformationen verbergen

Langfristig (30-90 Tage)

Web Application Firewall (WAF) implementieren
Regelmäßigen Sicherheits-Scan-Zeitplan etablieren
Move DMARC policy from p=quarantine to p=reject
Implement DNSSEC

This is a sample report. Actual reports include complete findings, raw scan data appendices, SSL certificate details, and detailed evidence for each vulnerability.

Classification: CONFIDENTIAL

Möchten Sie einen solchen Report für Ihre Organisation?

Get a comprehensive penetration test with actionable remediation guidance.

Get Your Free Pentest