Не обязательно, чтобы опытный тестер на проникновение мог написать хороший отчет, так как написание отчета о тестировании на проникновение — это искусство, которое нужно изучать отдельно.
Что такое написание отчета?
В тестировании на проникновение написание отчета — это комплексная задача, которая включает методологию, процедуры, правильное объяснение содержания и дизайна отчета, подробный пример отчета о тестировании и личный опыт тестировщика. Как только отчет подготовлен, он передается старшему руководству и технической группе целевых организаций. Если в будущем возникнет такая необходимость, этот отчет используется в качестве справочного материала.
Этапы написания отчета
В связи с проведением комплексной письменной работы составление отчета о проникновении делится на следующие этапы:
- Планирование отчетов
- Сбор информации
- Написание первого черновика
- Обзор и завершение
Планирование отчетов
Планирование отчета начинается с целей, которые помогают читателям понять основные моменты тестирования на проникновение. В этой части описывается, почему проводится тестирование, каковы преимущества ручного тестирования и т. Д. Во-вторых, планирование отчетов также включает время, затраченное на тестирование.
Основными элементами написания отчета являются —
-
Цели — описывает общую цель и преимущества ручного тестирования.
-
Время — Включение времени очень важно, так как оно дает точное состояние системы. Предположим, что если что-то случится позже, этот отчет спасет тестировщика, так как отчет проиллюстрирует риски и уязвимости в области тестирования на проникновение в течение определенного периода времени.
-
Целевая аудитория. Отчет о тестировании пера также должен включать целевую аудиторию, такую как менеджер по информационной безопасности, менеджер по информационным технологиям, главный специалист по информационной безопасности и техническая группа.
-
Классификация отчетов. Поскольку конфиденциальные данные, содержащие IP-адреса сервера, информацию о приложениях, уязвимости, угрозы, носят конфиденциальный характер, их необходимо правильно классифицировать. Однако эту классификацию необходимо проводить на основе целевой организации, которая имеет политику классификации информации.
-
Распространение отчетов — в объеме работ следует указать количество копий и распространение отчетов. Также необходимо отметить, что печатные копии можно контролировать, печатая ограниченное количество копий с указанием их номера и имени получателя.
Цели — описывает общую цель и преимущества ручного тестирования.
Время — Включение времени очень важно, так как оно дает точное состояние системы. Предположим, что если что-то случится позже, этот отчет спасет тестировщика, так как отчет проиллюстрирует риски и уязвимости в области тестирования на проникновение в течение определенного периода времени.
Целевая аудитория. Отчет о тестировании пера также должен включать целевую аудиторию, такую как менеджер по информационной безопасности, менеджер по информационным технологиям, главный специалист по информационной безопасности и техническая группа.
Классификация отчетов. Поскольку конфиденциальные данные, содержащие IP-адреса сервера, информацию о приложениях, уязвимости, угрозы, носят конфиденциальный характер, их необходимо правильно классифицировать. Однако эту классификацию необходимо проводить на основе целевой организации, которая имеет политику классификации информации.
Распространение отчетов — в объеме работ следует указать количество копий и распространение отчетов. Также необходимо отметить, что печатные копии можно контролировать, печатая ограниченное количество копий с указанием их номера и имени получателя.
Сбор информации
Из-за сложных и длительных процессов, тестер пера должен упоминать каждый шаг, чтобы убедиться, что он собрал всю информацию на всех этапах тестирования. Наряду с методами он также должен упомянуть о системах и инструментах, результатах сканирования, оценках уязвимости, подробностях своих выводов и т. Д.
Написание первого черновика
Когда-то тестер был готов со всеми инструментами и информацией, теперь ему нужно запустить первый черновик. Прежде всего, он должен написать первый черновик в деталях — упомянуть все, то есть все действия, процессы и опыт.
Обзор и завершение
После составления отчета он должен быть сначала рассмотрен самим составителем, а затем его старшими или коллегами, которые могли ему помочь. При проверке рецензент должен проверить каждую деталь отчета и найти любые недостатки, которые необходимо исправить.
Содержание отчета о тестировании на проникновение
Ниже приводится типичное содержание отчета о тестировании на проникновение: