Unetway

Тестирование проникновения - Написание отчетов

Нет необходимости, чтобы опытный тестер проникновения мог написать хороший отчет, поскольку письменный отчет о тестировании проникновения - это искусство, которое нужно изучать отдельно.

Что такое запись отчетов?

При тестировании проникновения составление отчетов - это комплексная задача, которая включает в себя методологию, процедуры, правильное объяснение содержания и дизайна отчета, подробный пример отчета об испытаниях и личный опыт тестировщика. Как только отчет будет подготовлен, он будет распространен среди сотрудников высшего руководства и технической группы целевых организаций. Если в будущем возникнет такая необходимость, этот отчет используется в качестве ссылки.

Стадии написания отчета

Из-за всесторонней письменной работы, запись отчета о проникновении подразделяется на следующие этапы -

  • Планирование отчетов
  • Сбор информации
  • Написание первого проекта
  • Обзор и завершение

Планирование отчетов

Планирование отчетов начинается с целей, которые помогают читателям понять основные моменты тестирования проникновения. В этой части описывается, почему тестирование проводится, каковы преимущества тестирования пера и т. Д. Во-вторых, планирование отчетов также включает время, затраченное на тестирование.

Основными элементами написания отчетов являются:

  • Цели. Он описывает общую цель и преимущества проверки пера.
  • Время. Включение времени очень важно, так как оно дает точный статус системы. Предположим, что если что-то не так произойдет позже, этот отчет сохранит тестер, так как отчет будет иллюстрировать риски и уязвимости в области тестирования проникновения в течение определенного периода времени.
  • Целевая аудитория. Отчет по проверке пера также должен включать целевую аудиторию, такую ​​как менеджер по информационной безопасности, менеджер по информационным технологиям, главный специалист по информационной безопасности и техническая группа.
  • Классификация отчетов. Поскольку конфиденциальность, в которой хранятся IP-адреса сервера, информация о приложении, уязвимость, угрозы, должна быть должным образом классифицирована. Однако эта классификация должна проводиться на основе целевой организации, которая имеет политику классификации информации.
  • Распределение отчетов. Количество экземпляров и распределение отчетов следует указывать в объеме работы. Также необходимо упомянуть, что печатные копии можно контролировать, печатая ограниченное количество копий, прилагаемых с его номером и именем получателя.

Сбор информации

Из-за сложных и длительных процессов, тестер пера должен упомянуть каждый шаг, чтобы убедиться, что он собрал всю информацию на всех этапах тестирования. Наряду с этими методами он также должен упомянуть о системах и инструментах, результатах сканирования, оценках уязвимостей, подробностях его результатов и т. д.

Написание первого проекта

Однажды тестер готов со всеми инструментами и информацией, теперь ему нужно запустить первый черновик. Прежде всего, ему нужно написать первый черновик в деталях - упомянуть все, т.е. все действия, процессы и опыт.

Обзор и завершение

После составления отчета он должен быть сначала рассмотрен самим составителем, а затем его пожилыми или коллегами, которые, возможно, помогли ему. Во время обзора рецензент должен проверить каждую деталь отчета и найти недостатки, которые необходимо исправить.

Содержание отчета о тестировании проникновения

Ниже приведен типичный контент отчета о тестировании проникновения:

Управляющее резюме

  • Объем работ
  • Цели проекта
  • Предположение
  • График
  • Резюме результатов
  • Резюме рекомендации

методология

  • Планирование
  • Эксплуатация
  • Составление отчетов

Детальные выводы

  • Подробная информация о системе
  • Информация о сервере Windows

Рекомендации

  • Аппендикс