Hola,
Un informe de prueba de penetración debe tener lo siguiente (preferiblemente en el orden indicado):
- Página de portada: declarando explícitamente que este informe es confidencial y debe ser visto solo por personal autorizado. Seguido por el nombre / logotipo de la empresa que realizó el pentest y la empresa para la que se realizó la prueba.
- Resumen ejecutivo: esta es una sección importante. Las personas que toman decisiones en una empresa la mayoría de las veces solo están interesadas en esta sección. Debe tener una mención clara del alcance, la línea de tiempo y el resumen de vulnerabilidades encontradas con su nivel de impacto. Se recomienda el uso de gráficos, tablas e imágenes. Ayudan a transmitir mejor.
- Sección de vulnerabilidades: en la última sección, debe ser preciso, nítido y directo, y en esta debe ser elaborado y descriptivo. Debe contener el nombre de la vulnerabilidad, la descripción de la vulnerabilidad, seguido de las consecuencias, los pasos para reproducirse y, finalmente, cómo solucionarlo. Utilice las capturas de pantalla en la sección Pasos para reproducir y en cómo solucionarlo, asegúrese de proporcionar los pasos genéricos y específicos del sitio web.
Como se preguntó en los comentarios, he tratado de elaborar algunos términos:
- ¿Qué opinas de las aplicaciones web sin conexión?
- ¿Qué es exactamente Heroku? Localhost vs Heroku? Apache vs Heroku?
- ¿Existe una aplicación de Twitter que le permita exportar los datos de sus seguidores a Excel, incluso si tiene más de 100,000 seguidores?
- ¿Cuál es el mejor marco web para un backend web (API) de subproceso único?
- ¿Cómo puede Java ser un back-end para una aplicación web?
- Alcance: El alcance / alcance de la auditoría de seguridad. ¿Estaba limitado a una IP, URL, red, etc. Si era una URL, se incluían subdominios? En caso afirmativo, su URL.
- Cronología: ¿Cuándo se firmaron los documentos de autorización y NDA? ¿Cuándo comenzó la auditoría real? ¿Cuándo terminó la auditoría? ¿Cuándo se entregaron los informes?
- Niveles de seguridad: generalmente ‘bajo’, ‘alto’, ‘medio’ denotado generalmente por los colores verde, amarillo y rojo.
En Astra by Czar Securities, nos aseguramos de que nuestros informes sean elaborados y entendibles tanto por personas no tecnológicas como tecnológicas. Espero que esto sea lo que estabas buscando.