Усилия по тестированию на проникновение - каким бы тщательным они ни были, - не всегда могут обеспечить исчерпывающее открытие каждого случая, когда эффективность контроля безопасности недостаточна. Идентификация уязвимости межсетевого скрипта или риска в одной области приложения не может определенно выявлять все случаи этой уязвимости, присутствующие в приложении. Эта глава иллюстрирует концепцию и полезность исправления.

Что такое исправление?

Реабилитация - это акт, предлагающий улучшение, чтобы заменить ошибку и установить ее правильно. Часто наличие уязвимости в одной области может указывать на слабость в процессах или методах разработки, которые могли бы реплицировать или активировать аналогичную уязвимость в других местах. Поэтому при исправлении важно, чтобы тестер тщательно исследовал тестируемый объект или приложения с неэффективными контрольными средствами безопасности.

Из-за этих причин соответствующая компания должна предпринять шаги для исправления любой уязвимости, связанной с эксплуатацией, в течение разумного периода времени после первоначального теста на проникновение. Фактически, как только компания выполнит эти шаги, тестер пера должен выполнить повторный тест для проверки вновь внедренных элементов управления, которые способны смягчить первоначальный риск.

Усилия по восстановлению, продолжающиеся в течение более длительного периода после первоначального теста пера, возможно, потребуют проведения нового тестирования, чтобы обеспечить точные результаты в самых современных условиях. Это определение должно быть сделано после анализа риска того, сколько изменений произошло после первоначального тестирования.

Более того, в определенных условиях проблема с помеченной безопасностью может иллюстрировать основной недостаток в соответствующей среде или приложении. Таким образом, в области проверки следует рассмотреть вопрос о том, классифицируются ли какие-либо изменения, вызванные восстановлением, идентифицированные из теста, как значимые. Все изменения должны быть проверены; однако, необходим ли весь повторный тест системы или нет, будет определяться оценкой рисков изменений.