Перевод: Как вы пишете отчет?

Введение

Отчет о пентестинге - это, пожалуй, один из самых важных документов, составляемых по результатам пентестинга. Не бойтесь потратить значительное количество времени, чтобы сделать этот документ блестящим, и убедитесь, что вы используете шаблоны. Создайте свой собственный шаблон на основе тех, которые вы можете найти в Интернете в качестве примера, удалите то, что вам не нужно, и добавьте то, что вам, безусловно, нужно.

Большинство тем отчета являются общими, но могут быть некоторые различия в зависимости от требований клиента и типа тестирования. Например, мы не будем включать результаты сканирования сети, если предполагается тестировать только веб-приложение.

Я отмечу те пункты, которые необходимы по моему мнению, но, конечно, вы можете интерпретировать это по своему усмотрению, ведь вы - эксперт по пентесту.

Первая страница [ОБЯЗАТЕЛЬНО]

Опишите метаданные о документе.

Лого:

Версия: x.y ПРОЕКТ/ОБЗОР/ФИНАЛ

Клиент: RatInc

Данный отчет является строго конфиденциальным и ни при каких обстоятельствах не должен передаваться людям, которым не нужен доступ к содержащейся в нем информации. Все права на распространение принадлежат RatInc (Клиент).

Заголовок версии [ОБЯЗАТЕЛЬНО]

Здесь вы разместите небольшую таблицу, указывающую статус документа, кто будет его рассматривать и даты.

Статус, версии, Автор, Рецензент, Рассмотрено, 0.1 ПРОЕКТ Wesley Thijs Uncle Rat NOK - См. замечания, 0.2 ПРОЕКТ Wesley Thijs Uncle Rat OK - Отправить клиенту, 0.3 ОБЗОР КЛИЕНТА Wesley Thijs Rat Inc - Auntie Rat OK - Пожалуйста, добавьте замечания, 1.0 ФИНАЛ Wesley Thijs Rat Inc - Auntie Rat OK - Подписано.

Кто есть кто [ОБЯЗАТЕЛЬНО]

Запишите для обеих сторон, кем являются люди, с которыми следует связаться.

The XSS Rat

Wesley Thijs — Основатель и пентестер — Info@thexssrat.com

Testy MacTest — Пентестер — test@thexssrat.com

info rat — Пентестер — Info@thexssrat.com

RatInc

Foundy mcFound — Основатель

Claus Shawb = COO

Leonardo dicaprio — Разработчик

Madonna — QA

Методология[ОБЯЗАТЕЛЬНО]

Не просто напишите, что вы следовали OWASP top 10, опишите фазы пентеста и то, как вы будете его проводить.

Убедитесь, что вы также объяснили, как вы пришли к оценке воздействия и риска, а не просто свалили на клиента неизвестную классификацию.

Всегда помните, что классификация клиента может отличаться от той, которую вы даете уязвимости. Клиент всегда прав в этом случае, если вы правильно его проконсультировали. Вы должны помнить, что компании могут быть ограничены бюджетом, а их основной бизнес может отличаться от того, к чему вы привыкли.

Сканирование сети [ТОЛЬКО В СЛУЧАЕ СЕТЕВОГО ИЛИ ОРГАНИЗАЦИОННОГО ПЕНТЕСТА]

Включите сюда полные результаты сканирования Nmap и уязвимостей. Вы можете поместить эти результаты в приложение, чтобы не загромождать отчет.

Выводы[ОБЯЗАТЕЛЬНО]

Для каждого вывода постарайтесь как можно лучше заполнить следующий шаблон:

IMPACT - Название

Убедитесь, что ваш заголовок лаконичен, менеджерам придется обсуждать ваши уязвимости в зале заседаний совета директоров, поэтому убедитесь, что заголовок говорит о том, что требуется в коротком предложении.

Описание

Кратко опишите проблему, даже если вы позже углубитесь в ее суть. Это поможет всем, кто будет читать про уязвимость, определить контекст происходящего.

Предварительное условие

В случае наличия предварительного условия, необходимо отметить это здесь Например:

• Доступна учетная запись администратора
• Прокси-сервер MiTM, такой как burp suite

Шаги для воспроизведения

Когда я объясняю людям, что здесь нужно вводить, я всегда привожу пример того, как вы объясняете ребенку, как сделать сэндвич. Это то, что вы умеете делать с тех пор как нашли уязвимость и теперь вы должны объяснить это кому-то, кто не знает, что нужно делать.

Это действительно оправдывает потраченное время на то, чтобы привести свои шаги в полный порядок, поскольку это может предотвратить пересылку уязвимости туда-сюда из-за того, что инженеры могут быть не в полной мере в курсе дела.

Будьте как можно более подробны, но не отвлекайтесь от дела и отмечайте только те шаги, которые могли вызвать уязвимость, постарайтесь исключить все переменные, чтобы инженерам было легче выяснить причину уязвимости.

Ожидаемый результат

Что должно произойти, например:

"Пользователь должен получить сообщение об ошибке".

Фактический результат

Что произошло на самом деле, например:

"Пользователь получил доступ к счетам, на которые у него не было прав".

Ссылка

По возможности укажите здесь ссылку на CVE, CWE или статью OWASP Top 10.

Меры по смягчению последствий

Как эксперт по безопасности, вы можете дать некоторые рекомендации по устранению проблемы. Например:

"Контроль доступа должен быть сосредоточен в модуле авторизации, к которому можно обратиться, вместо того чтобы применять уже существующие способы с шансом допущения ошибки".

Метрики [ОБЯЗАТЕЛЬНО]

Представьте клиенту обзор найденных вами уязвимостей, их соответствие OWASP top 10 (если применимо) и обзор бюджета.

Критические 3

Высокие 6

Средние 10

Низкие 4

Информационные 22

Общее количество часов, потраченных на тестирование: 322,5

Расчетное количество часов: 350

Соответствие требованиям OWASP [НЕОБЯЗАТЕЛЬНО]

Выводы [ОБЯЗАТЕЛЬНО]

Вы всегда должны давать клиенту общую картину состояния системы. Будьте краткими, но полными и дайте непредвзятое мнение. Вы можете быть возмущены тем, что их брандмауэр Cisco немного устарел, но в действительности он может представлять лишь слабую угрозу безопасности. Будьте реалистичны и честны, убедитесь, что клиент знает, что его ждет, прочитав это краткое резюме.

Оригинал статьи - здесь.
Поддержите автора хлопками на Medium.

Перевод статьи был выполнен проектом перевод энтузиаста:

• 📚 @Ent_TranslateIB - Телеграмм канал с тематикой информационной безопасности
• 🔥 @Ent_Translate - Инстаграм проекта