pentest

تست نفوذ- گزارش نویسی

نوشتن یک گزارش خوب توسط تستر نفوذ با تجربه خیلی ضرورت ندارد چون هنری است که باید به طور مجزا آموزش داده شود. گزارش نویسی چیست؟ در تست نفوذ، نوشتن…

نوشتن یک گزارش خوب توسط تستر نفوذ با تجربه خیلی ضرورت ندارد چون هنری است که باید به طور مجزا آموزش داده شود.

گزارش نویسی چیست؟

در تست نفوذ، نوشتن گزارش یک کار جامع است که شامل روش شناسی(متدولوژی)، رویه ها، شرح مناسبی از محتوا و طراحی گزارش، نمونه مفصلی از گزارش تست، و تجربه شخصی تستر می باشد. وقتی گزارش آماده شد، بین کارمندان ارشد مدیریت و تیم فنی سازمانهای هدف به اشتراک گذاشته می شود. در صورت نیاز در آینده، از این گزارش به عنوان رفرنس(reference) استفاده می شود.

مراحل گزارش نویسی

با توجه به جامع بودن کار نگارش، گزارش نویسی نفوذ شامل مراحل ذیل می باشد:

  • برنامه ریزی گزارش
  • جمع آوری اطلاعات
  • نوشتن پیش نویس اولیه
  • بازنگری و نهایی کردن

pentest generate reports

برنامه ریزی گزارش

برنامه ریزی گزارش با اهداف شروع می شود، که به خوانندگان کمک می کند نکات اصلی تست نفوذ را بشناسند. این بخش توضیح می دهد چرا این تست انجام می شود، فواید تست نفوذ چیست؟ و غیره. علاوه بر این، گزارش نویسی شامل زمان لازم برای تست را هم لحاظ می کند.

 

عوامل اصلی گزارش نویسی عبارتند از:

اهداف- هدف کلی و مزایای تست نفوذ را بیان می کند.

زمان- قرار دادن زمان بسیار مهم است، چون وضعیت دقیقی از سیستم را ارائه می دهد. فرض کنید اگر هر اشتباهی بعداً رخ دهد، این گزارش باعث نجات تستر می شود زیرا خطرات و آسیب پذیری های موجود در محدوده تست نفوذ را در طی دوره زمانی مشخص نشان می دهد.

مخاطب هدف- گزارش تست نفوذ نیز باید مخاطبان هدف را شامل شود، از جمله مدیر امنیت اطلاعات، مدیر فناوری اطلاعات، مدیر ارشد امنیت اطلاعات، و تیم فنی.

طبقه بندی گزارش- از آنجا که گزارش نویسی بسیار محرمانه است چون آدرس های IP سرور، اطلاعات برنامه، آسیب پذیری، و تهدیدات را به دنبال دارد، بنابراین باید به درستی طبقه بندی شود. با این حال، این طبقه بندی باید بر اساس سازمان هدف انجام شود که دارای یک سیاست طبقه بندی اطلاعات است.

توزیع گزارش- تعداد نسخه ها و توزیع گزارش باید در محدوده کار ذکر شود. همچنین لازم به ذکر است که با چاپ تعداد محدودی از نسخه های ضمیمه شده با شماره آن و نام گیرنده می توان این کپی ها را مدیریت کرد.

جمع آوری اطلاعات

به دلیل فرآیندهای پیچیده و طولانی، تستر نفوذ موظف است هر مرحله را ذکر کند تا از جمع آوری اطلاعات در تمامی مراحل تست، اطمینان یابد. در کنار روش ها، وی باید به سیستم ها و ابزارها، نتایج بررسی، ارزیابی های آسیب پذیری، جزئیات یافته های خود و غیره هم اشاره کند.

نوشتن پیش نویس اولیه

هنگامی که تستر، تمام ابزارها و اطلاعات را در دست داشت، باید اولین پیش نویس را شروع کند. در ابتدا، او باید با جزئیاتی مانند تمام فعالیت ها، فرایند ها، و تجارب؛ اولین پیش نویس را بنویسد.

بازنگری و نهایی کردن

پس از طراحی گزارش، ابتدا باید توسط خود طراح و بعد توسط همکارانی که به وی کمک کردند، بررسی شود. در حین بازنگری، انتظار می رود که بررسی کننده تمام جزئیات گزارش را بررسی كند و نقایصی را پیدا کند که نیاز به اصلاح دارند.

محتوای گزارش تست نفوذ

محتوای معمول گزارش تست نفوذ بدین شرح می باشد:

خلاصه اجرائی

·        دامنه کار

·        اهداف پروژه

·        فرضیه

·        جدول زمانی

·        خلاصه ای از یافته ها

·        پیشنهادات موجز و مختصر

 

متدولوژی

·        برنامه ریزی

·        بهره برداری

·        گزارش نویسی

 

یافته های جزئی

·        اطلاعات دقیق سیستم ها

·        اطلاعات سرور ویندوز

 

منابع

·        پیوست
دسته: اخبار تست نفوذ و آسیب پذیری ها
نتیجه‌ای پیدا نشد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

این فیلد را پر کنید
این فیلد را پر کنید
لطفاً یک نشانی ایمیل معتبر بنویسید.
برای ادامه، شما باید با قوانین موافقت کنید

keyboard_arrow_up