Cómo escribir un informe de prueba de penetración web

Hola,

Un informe de prueba de penetración debe tener lo siguiente (preferiblemente en el orden indicado):

  1. Página de portada: declarando explícitamente que este informe es confidencial y debe ser visto solo por personal autorizado. Seguido por el nombre / logotipo de la empresa que realizó el pentest y la empresa para la que se realizó la prueba.
  2. Resumen ejecutivo: esta es una sección importante. Las personas que toman decisiones en una empresa la mayoría de las veces solo están interesadas en esta sección. Debe tener una mención clara del alcance, la línea de tiempo y el resumen de vulnerabilidades encontradas con su nivel de impacto. Se recomienda el uso de gráficos, tablas e imágenes. Ayudan a transmitir mejor.
  3. Sección de vulnerabilidades: en la última sección, debe ser preciso, nítido y directo, y en esta debe ser elaborado y descriptivo. Debe contener el nombre de la vulnerabilidad, la descripción de la vulnerabilidad, seguido de las consecuencias, los pasos para reproducirse y, finalmente, cómo solucionarlo. Utilice las capturas de pantalla en la sección Pasos para reproducir y en cómo solucionarlo, asegúrese de proporcionar los pasos genéricos y específicos del sitio web.

Como se preguntó en los comentarios, he tratado de elaborar algunos términos:

  • Alcance: El alcance / alcance de la auditoría de seguridad. ¿Estaba limitado a una IP, URL, red, etc. Si era una URL, se incluían subdominios? En caso afirmativo, su URL.
  • Cronología: ¿Cuándo se firmaron los documentos de autorización y NDA? ¿Cuándo comenzó la auditoría real? ¿Cuándo terminó la auditoría? ¿Cuándo se entregaron los informes?
  • Niveles de seguridad: generalmente ‘bajo’, ‘alto’, ‘medio’ denotado generalmente por los colores verde, amarillo y rojo.

En Astra by Czar Securities, nos aseguramos de que nuestros informes sean elaborados y entendibles tanto por personas no tecnológicas como tecnológicas. Espero que esto sea lo que estabas buscando.

Related Content

Cómo hacer diseños de plantillas web receptivas

¿Existe un IDE que le permita crear aplicaciones de una sola página utilizando un editor WYSIWYG?

¿Por qué la gente dice que MySQL está muerto?

¿Cómo lanzo una moneda con alguien por internet?

Cómo construir una página de inicio de sesión múltiple

Mire el Estándar de Ejecución de Pruebas de Penetración (PTES).

El estándar de ejecución de pruebas de penetración consta de siete (7) secciones principales. Estos cubren todo lo relacionado con una prueba de penetración, desde la comunicación inicial y el razonamiento detrás de un pentest, pasando por la recopilación de inteligencia y las fases de modelado de amenazas donde los evaluadores trabajan detrás de escena para obtener una mejor comprensión de la organización probada, a través de la investigación de vulnerabilidades, explotación y posterior explotación, donde la experiencia técnica en seguridad de los probadores juega y se combina con la comprensión comercial del compromiso, y finalmente con la presentación de informes, que captura todo el proceso, de una manera que tiene sentido para el cliente y proporciona el más valor para ello.

Las siguientes son las secciones principales definidas por el estándar como la base para la ejecución de la prueba de penetración:

  • Interacciones previas al compromiso
  • La recogida de información
  • Modelado de amenazas
  • Análisis de vulnerabilidad
  • Explotación
  • Post Explotación
  • Informes

PCI reconoce a PTES como marco de referencia para realizar pruebas de penetración. Vea su guía en https: //www.pcisecuritystandards

Steve Pote

Aquí hay una muy buena muestra de Seguridad ofensiva (capacitación en seguridad ofensiva y servicios profesionales). No nombres de compañías reales, bien organizados. Completo. Recuerde que las prácticas y técnicas utilizadas son al menos antisociales, si no ilegales, si el objetivo no lo ha contratado para la Auditoría de Seguridad. Muchos expondrán su propia ubicación y fallas de seguridad si se ejecutan mal.

https: //www.offensive-security.c

Shikhil Sharma

More Interesting

¿Cuál es el desarrollo front-end, el marco web, el servicio del lado del servidor y del lado del cliente que escuchamos de los ingenieros de software?

¿Qué crees que deben usarse una buena configuración / tecnologías para crear un SaaS de análisis web?

¿Cuáles son buenos ejemplos de diseño receptivo en aplicaciones web complejas?

¿Puedo usar C ++ como back-end en una aplicación web?

¿Qué debo elegir para una aplicación web altamente personalizada en R, Shiny vs. OpenCPU?

¿Qué opinas sobre la página de inicio de Toolyo? ¿Cómo puede ser mejorado?

¿Dónde almacena sus archivos de desarrollo web?

¿Cuál fue su peor crisis en un entorno de producción y cómo la manejó?

¿Cuál es el aspecto técnicamente más desafiante de Techmeme?

¿Cómo puedo crear ideas de turismo en línea basadas en la web en Bangladesh?

¿Alguien ha intentado aplicar ingeniería inversa a una aplicación web, si es así, esta es una buena / mala forma de aprender?

Al implementar un sitio web / aplicación web, ¿debo colocar la aplicación y la API en el mismo servidor?

Cómo usar un fondo de imagen de página completa en la aplicación web basada en AngularJS

¿Existen aplicaciones web que le permitan crear listas de tareas personales que puedan compartirse con otros (otros usuarios o públicamente a través de un enlace)?

Medicina veterinaria: ¿Existe un software de documentación para veterinarios?