تست نفوذ با وجود دقیق بودن، همیشه نمی تواند کشف جامعی از هر نمونه ای را تضمین کند که اثربخشی کنترل امنیت در آن کافی نیست. شناسایی آسیب پذیری cross-site scripting در قسمتی از برنامه ممکن است تمام موارد این آسیب پذیری های موجود در برنامه را نشان ندهد. این فصل مفهوم و کاربرد ترمیم را شرح می دهد.
ترمیم یا اصلاحات طبق راهکار پیشنهادی چیست؟
ترمیم، عمل ارائه توسعه و بهبود برای جایگزین کردن اشتباه و درست کردن آن عمل می باشد. اغلب، وجود آسیب پذیری در یک ناحیه ممکن است نشان دهنده ضعف در روند یا مراحل توسعه باشد که می تواند آسیب پذیری مشابه را در سایر نواحی تکرار کند. بنابراین، در حین ترمیم، تستر باید شرکت مورد آزمایش یا برنامه های دارای کنترل امنیتی ناکارآمد را به دقت مورد بررسی قرار دهد.
به همین دلایل، شرکت مربوطه باید در یک دوره زمانی معقول پس از تست نفوذ اولیه ، اقدامات لازم را برای اصلاح هرگونه آسیب پذیری قابل بهره برداری انجام دهد. به محض اینکه شرکت این مراحل را انجام دارد، تستر نفوذ باید برای قانونی کردن(اعتبار بخشی) کنترل های تازه اجرا شده، تست مجددی انجام دهد تا خطر اصلی کاهش یابد.
توسعه تلاش های اصلاح برای یک دوره طولانی تر بعد از تست نفوذ اولیه، به یک تست جدید نیاز دارد تا از نتایج دقیق محیط فعلی مطمئن شویم. این تصمیم باید بعد از آنالیز خطر تغییرات رخ داده از زمان تکمیل تست اصلی ایجاد شود.
علاوه بر این، در شرایط خاص، مشکل امنیتی ممکن است نقص محیط یا برنامه مربوطه را نشان دهد. بنابراین دامنه تست مجدد باید در نظر بگیرد آیا تغییراتی که در اثر اصلاح یا ترمیم انجام شده از آزمایش مشخص شده است، به عنوان تغییر مهمی مشخص می شود یا خیر. همه تغییرات باید مجددا مورد آزمایش قرار گیرند. با این وجود، این که آیا تست مجدد یک سیستم ضروری است یا خیر، با ارزیابی خطر تغییرات تعیین می شود.
