Учебники

Тестирование на проникновение – написание отчета

Не обязательно, чтобы опытный тестер на проникновение мог написать хороший отчет, так как написание отчета о тестировании на проникновение – это искусство, которое нужно изучать отдельно.

Что такое написание отчета?

В тестировании на проникновение написание отчета – это комплексная задача, которая включает методологию, процедуры, правильное объяснение содержания и дизайна отчета, подробный пример отчета о тестировании и личный опыт тестировщика. Как только отчет подготовлен, он передается старшему руководству и технической группе целевых организаций. Если в будущем возникнет такая необходимость, этот отчет используется в качестве справочного материала.

Этапы написания отчета

В связи с проведением комплексной письменной работы составление отчета о проникновении делится на следующие этапы:

  • Планирование отчетов
  • Сбор информации
  • Написание первого черновика
  • Обзор и завершение

Доклад

Планирование отчетов

Планирование отчета начинается с целей, которые помогают читателям понять основные моменты тестирования на проникновение. В этой части описывается, почему проводится тестирование, каковы преимущества ручного тестирования и т. Д. Во-вторых, планирование отчетов также включает время, затраченное на тестирование.

Основными элементами написания отчета являются –

  • Цели – описывает общую цель и преимущества ручного тестирования.

  • Время – Включение времени очень важно, так как оно дает точное состояние системы. Предположим, что если что-то случится позже, этот отчет спасет тестировщика, так как отчет проиллюстрирует риски и уязвимости в области тестирования на проникновение в течение определенного периода времени.

  • Целевая аудитория. Отчет о тестировании пера также должен включать целевую аудиторию, такую ​​как менеджер по информационной безопасности, менеджер по информационным технологиям, главный специалист по информационной безопасности и техническая группа.

  • Классификация отчетов. Поскольку конфиденциальные данные, содержащие IP-адреса сервера, информацию о приложениях, уязвимости, угрозы, носят конфиденциальный характер, их необходимо правильно классифицировать. Однако эту классификацию необходимо проводить на основе целевой организации, которая имеет политику классификации информации.

  • Распространение отчетов – в объеме работ следует указать количество копий и распространение отчетов. Также необходимо отметить, что печатные копии можно контролировать, печатая ограниченное количество копий с указанием их номера и имени получателя.

Цели – описывает общую цель и преимущества ручного тестирования.

Время – Включение времени очень важно, так как оно дает точное состояние системы. Предположим, что если что-то случится позже, этот отчет спасет тестировщика, так как отчет проиллюстрирует риски и уязвимости в области тестирования на проникновение в течение определенного периода времени.

Целевая аудитория. Отчет о тестировании пера также должен включать целевую аудиторию, такую ​​как менеджер по информационной безопасности, менеджер по информационным технологиям, главный специалист по информационной безопасности и техническая группа.

Классификация отчетов. Поскольку конфиденциальные данные, содержащие IP-адреса сервера, информацию о приложениях, уязвимости, угрозы, носят конфиденциальный характер, их необходимо правильно классифицировать. Однако эту классификацию необходимо проводить на основе целевой организации, которая имеет политику классификации информации.

Распространение отчетов – в объеме работ следует указать количество копий и распространение отчетов. Также необходимо отметить, что печатные копии можно контролировать, печатая ограниченное количество копий с указанием их номера и имени получателя.

Сбор информации

Из-за сложных и длительных процессов, тестер пера должен упоминать каждый шаг, чтобы убедиться, что он собрал всю информацию на всех этапах тестирования. Наряду с методами он также должен упомянуть о системах и инструментах, результатах сканирования, оценках уязвимости, подробностях своих выводов и т. Д.

Написание первого черновика

Когда-то тестер был готов со всеми инструментами и информацией, теперь ему нужно запустить первый черновик. Прежде всего, он должен написать первый черновик в деталях – упомянуть все, то есть все действия, процессы и опыт.

Обзор и завершение

После составления отчета он должен быть сначала рассмотрен самим составителем, а затем его старшими или коллегами, которые могли ему помочь. При проверке рецензент должен проверить каждую деталь отчета и найти любые недостатки, которые необходимо исправить.

Содержание отчета о тестировании на проникновение

Ниже приводится типичное содержание отчета о тестировании на проникновение: