Pen Testing отчет

Discussion in 'Песочница' started by Nikolay_Fo, 13 Dec 2015.

  1. Nikolay_Fo

    Nikolay_Fo New Member

    Joined:
    13 Dec 2015
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Доброе время суток, уважаемые античатовцы.

    Впервые участвуя в мероприятии по тестированию на проникновение, я столкнулся с проблемой составления отчета. Все надо сделать в минимальные сроки. Кто-нибудь владеет информацией (ссылочкой или файликом) как составить отчет или хотя бы форму его составления? Будет классно, если у кого либо есть примеры отчета пентестинга.

    С уважением,
    Николай
     
  2. Jup1ter_

    Jup1ter_ New Member

    Joined:
    27 Nov 2015
    Messages:
    19
    Likes Received:
    4
    Reputations:
    6
  3. Rebz

    Rebz Super Moderator
    Staff Member

    Joined:
    8 Nov 2004
    Messages:
    4,054
    Likes Received:
    1,527
    Reputations:
    1,126
    Ну, если это не одноразовая работа, то начни как сам считаешь нужным, далее сам увидишь какую информацию будут у тебя дополнительно запрашивать, в след.раз включи её в отчет.
    Юра Гольцев в журнале Хакер про это писал, погугли.
     
    kostea likes this.
  4. Jup1ter_

    Jup1ter_ New Member

    Joined:
    27 Nov 2015
    Messages:
    19
    Likes Received:
    4
    Reputations:
    6
    Забыл как то про его (Гольцева) статью:(
    Вот тот самый выпуск.
    http://rghost.ru/797shzJ85
     
  5. ZodiaX

    ZodiaX Reservists Of Antichat

    Joined:
    7 May 2009
    Messages:
    533
    Likes Received:
    308
    Reputations:
    51
    В принципе все достаточно стандартно...
    - Введение
    ...зачем проверяли?
    ...как проверяли?
    - Что проверяли (описать объект)
    - Общая оценка на основе найденного
    - Тут можно расписывать найденные уязвимости начиная с критичных
    желательно включать уязвимый участок, вектор, пример эксплуатации, из за чего возникает
    - Как устранить
     
  6. Jup1ter_

    Jup1ter_ New Member

    Joined:
    27 Nov 2015
    Messages:
    19
    Likes Received:
    4
    Reputations:
    6
    Ну вот внутренние отчеты у меня в виде
    что проверяли
    тип уязвимости
    PoC
    как лечить.
    Но руководство сказало, что для внешних отчетов такой формат не солиден потому, что маленький объем документа получается. Все зависит от того, для кого ты проводить тестирование.
     
    Turanchocks_ likes this.
  7. Ditss

    Ditss New Member

    Joined:
    5 Nov 2015
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    Тоже интересна тема составления официальных отчетов... Нужно ли давать ссылки и расшифровывать понятия? Есть ли готовые примеры на Google.Doc? Заранее спасибо!
     
  8. Jup1ter_

    Jup1ter_ New Member

    Joined:
    27 Nov 2015
    Messages:
    19
    Likes Received:
    4
    Reputations:
    6
    Я привожу ссылки на CVE или описание OWASP и ничего не сокращаю.
     
Loading...