Vulnerability assessment

Комплексный тест на проникновение

системе на различных этапах    тестирования


Отчет по результатам тестирования на проникновение включает в себя:


  • методику проводимых работ;

  • выводы (как развернутые технические, так и более краткие для руководства), в которых дается оценка состояния защищенности информационной системы Заказчика;

  • описание хода работ, выявленных уязвимостей, ранжирование их по степени потенциальной опасности, вероятности их использования, описание последствий реализации выявленных уязвимостей;

  • рекомендации по нейтрализации выявленных уязвимостей (снижению возможного ущерба от их использования злоумышленниками), рекомендации по изменению конфигурации и настроек оборудования, используемых защитных механизмов и программных средств, принятию дополнительных мер и применению дополнительных средств защиты, по установке необходимых обновлений для используемого программного обеспечения и т.п.;

  • выводы по анализу уязвимостей в Web-приложениях и методах их нейтрализации;

  • результаты эксплуатации нескольких критичных уязвимостей, включая информацию о полученном уровне привилегий в системе на различных этапах тестирования;

  • выводы об осведомленности персонала Заказчика о требованиях по обеспечению ИБ.

  • По поводу отчёта, предложенного Александром Дорофеевом. влияние человеческого фактора на безопасность Это действительно мало похоже на отчёт по результатам теста на проникновение.
    Например, тот же WEP. проверка на sql уязвимость Отлично, получили пароль, а дальше что? Странно, что пентестер остановился на этом. Запросы, похожие на «защита от sql-инъекций» Получили на втруненней части имена пользователей. проверка на взлом Опять же, что дало это? Это всё сканирование уязвимостей с ручной проверкой. поиск уязвимостей на сайте Оформление отчёта тоже оставляется желать лучшего, его будет сложно читать как руководству, так и технорям.
    угук, мы выполнили то-то, в результате получили то-то, это нам позволило сделать то-то и в результате было достигнуто то-то - это, по сути, и называется тестированием, а результат такого тестирования должен быть подробно запротоколирован. проверка почты на взлом Александр же называет это комиксами :) см. комменты
    Прочитал отчет Дорофеева, про комиксы он явно не прав.
    Комментировать смысла нету - ты отлично расписал все в комментах у него на сайте.
    Даже просто для тестирования отдельно взятого веб-приложения маловато такой структуры документа.
    А классификация нарушителей давно такая появилась? %)))
    классификация нарушителей стандартная. переработанная от той, которую ты видел. в частности, введены принципы классификации:
    - уровень мотивации (M);
    - уровень квалификации (Q);
    - уровень физического доступа (P).
    - уровень доступа к целевой системе (AT);
    - уровень сведений о целевой информационной системе (SI);
    - уровень доступа к смежным информационным сисм (AN);
    - уровень доступа к внешним информационным сисм (AE).

    Похожие статьи Pentest