Нет необходимости, чтобы опытный тестер проникновения мог написать хороший отчет, поскольку письменный отчет о тестировании проникновения - это искусство, которое нужно изучать отдельно.
Что такое запись отчетов?
При тестировании проникновения составление отчетов - это комплексная задача, которая включает в себя методологию, процедуры, правильное объяснение содержания и дизайна отчета, подробный пример отчета об испытаниях и личный опыт тестировщика. Как только отчет будет подготовлен, он будет распространен среди сотрудников высшего руководства и технической группы целевых организаций. Если в будущем возникнет такая необходимость, этот отчет используется в качестве ссылки.
Стадии написания отчета
Из-за всесторонней письменной работы, запись отчета о проникновении подразделяется на следующие этапы -
- Планирование отчетов
- Сбор информации
- Написание первого проекта
- Обзор и завершение
Планирование отчетов
Планирование отчетов начинается с целей, которые помогают читателям понять основные моменты тестирования проникновения. В этой части описывается, почему тестирование проводится, каковы преимущества тестирования пера и т. Д. Во-вторых, планирование отчетов также включает время, затраченное на тестирование.
Основными элементами написания отчетов являются:
- Цели. Он описывает общую цель и преимущества проверки пера.
- Время. Включение времени очень важно, так как оно дает точный статус системы. Предположим, что если что-то не так произойдет позже, этот отчет сохранит тестер, так как отчет будет иллюстрировать риски и уязвимости в области тестирования проникновения в течение определенного периода времени.
- Целевая аудитория. Отчет по проверке пера также должен включать целевую аудиторию, такую как менеджер по информационной безопасности, менеджер по информационным технологиям, главный специалист по информационной безопасности и техническая группа.
- Классификация отчетов. Поскольку конфиденциальность, в которой хранятся IP-адреса сервера, информация о приложении, уязвимость, угрозы, должна быть должным образом классифицирована. Однако эта классификация должна проводиться на основе целевой организации, которая имеет политику классификации информации.
- Распределение отчетов. Количество экземпляров и распределение отчетов следует указывать в объеме работы. Также необходимо упомянуть, что печатные копии можно контролировать, печатая ограниченное количество копий, прилагаемых с его номером и именем получателя.
Сбор информации
Из-за сложных и длительных процессов, тестер пера должен упомянуть каждый шаг, чтобы убедиться, что он собрал всю информацию на всех этапах тестирования. Наряду с этими методами он также должен упомянуть о системах и инструментах, результатах сканирования, оценках уязвимостей, подробностях его результатов и т. д.
Написание первого проекта
Однажды тестер готов со всеми инструментами и информацией, теперь ему нужно запустить первый черновик. Прежде всего, ему нужно написать первый черновик в деталях - упомянуть все, т.е. все действия, процессы и опыт.
Обзор и завершение
После составления отчета он должен быть сначала рассмотрен самим составителем, а затем его пожилыми или коллегами, которые, возможно, помогли ему. Во время обзора рецензент должен проверить каждую деталь отчета и найти недостатки, которые необходимо исправить.
Содержание отчета о тестировании проникновения
Ниже приведен типичный контент отчета о тестировании проникновения:
Управляющее резюме
- Объем работ
- Цели проекта
- Предположение
- График
- Резюме результатов
- Резюме рекомендации
методология
- Планирование
- Эксплуатация
- Составление отчетов
Детальные выводы
- Подробная информация о системе
- Информация о сервере Windows
Рекомендации
- Аппендикс
0 комментариев