การทดสอบการเจาะ - การเขียนรายงาน

ไม่จำเป็นที่ผู้ทดสอบการเจาะที่มีประสบการณ์จะสามารถเขียนรายงานที่ดีได้เนื่องจากการเขียนรายงานการทดสอบการเจาะเป็นศิลปะที่ต้องเรียนรู้แยกกัน

การเขียนรายงานคืออะไร?

ในการทดสอบการเจาะข้อมูลการเขียนรายงานเป็นงานที่ครอบคลุมซึ่งรวมถึงวิธีการขั้นตอนการอธิบายเนื้อหาและการออกแบบรายงานที่เหมาะสมตัวอย่างโดยละเอียดของรายงานการทดสอบและประสบการณ์ส่วนตัวของผู้ทดสอบ เมื่อจัดทำรายงานแล้วจะมีการแบ่งปันระหว่างเจ้าหน้าที่ผู้บริหารระดับสูงและทีมเทคนิคขององค์กรเป้าหมาย หากมีความต้องการเช่นนี้เกิดขึ้นในอนาคตรายงานนี้จะใช้เป็นข้อมูลอ้างอิง

ขั้นตอนการเขียนรายงาน

เนื่องจากมีงานเขียนที่ครอบคลุมการเขียนรายงานการเจาะจึงแบ่งออกเป็นขั้นตอนต่อไปนี้ -

  • การวางแผนรายงาน
  • การรวบรวมข้อมูล
  • การเขียนร่างแรก
  • ตรวจสอบและสรุปผล

การวางแผนรายงาน

การวางแผนรายงานเริ่มต้นด้วยวัตถุประสงค์ซึ่งช่วยให้ผู้อ่านเข้าใจประเด็นหลักของการทดสอบการเจาะ ส่วนนี้จะอธิบายว่าเหตุใดจึงดำเนินการทดสอบประโยชน์ของการทดสอบปากกาคืออะไร ฯลฯ ประการที่สองการวางแผนรายงานยังรวมถึงเวลาที่ใช้ในการทดสอบด้วย

องค์ประกอบหลักของการเขียนรายงาน ได้แก่ -

  • Objectives - อธิบายวัตถุประสงค์โดยรวมและประโยชน์ของการทดสอบปากกา

  • Time- การรวมเวลามีความสำคัญมากเนื่องจากจะให้สถานะที่ถูกต้องของระบบ สมมติว่าหากมีสิ่งผิดปกติเกิดขึ้นในภายหลังรายงานนี้จะช่วยผู้ทดสอบเนื่องจากรายงานจะแสดงให้เห็นถึงความเสี่ยงและช่องโหว่ในขอบเขตการทดสอบการเจาะในช่วงเวลาที่กำหนด

  • Target Audience - รายงานการทดสอบปากกาจำเป็นต้องมีกลุ่มเป้าหมายเช่นผู้จัดการความปลอดภัยของข้อมูลผู้จัดการเทคโนโลยีสารสนเทศหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลและทีมเทคนิค

  • Report Classification- เนื่องจากเป็นความลับสูงซึ่งมีที่อยู่ IP ของเซิร์ฟเวอร์ข้อมูลแอปพลิเคชันช่องโหว่ภัยคุกคามจึงจำเป็นต้องได้รับการจัดประเภทอย่างเหมาะสม อย่างไรก็ตามการจำแนกประเภทนี้จำเป็นต้องทำบนพื้นฐานขององค์กรเป้าหมายซึ่งมีนโยบายการจำแนกประเภทข้อมูล

  • Report Distribution- จำนวนสำเนาและการแจกจ่ายรายงานควรระบุไว้ในขอบเขตงาน นอกจากนี้ยังต้องระบุด้วยว่าสามารถควบคุมฮาร์ดคอปปี้ได้โดยการพิมพ์สำเนาจำนวน จำกัด ที่แนบมาพร้อมหมายเลขและชื่อผู้รับ

การรวบรวมข้อมูล

เนื่องจากกระบวนการที่ซับซ้อนและยาวนานผู้ทดสอบปากกาจึงต้องพูดถึงทุกขั้นตอนเพื่อให้แน่ใจว่าเขารวบรวมข้อมูลทั้งหมดในทุกขั้นตอนของการทดสอบ นอกเหนือจากวิธีการแล้วเขายังต้องพูดถึงระบบและเครื่องมือผลการสแกนการประเมินช่องโหว่รายละเอียดการค้นพบของเขา ฯลฯ

การเขียนร่างแรก

เมื่อผู้ทดสอบพร้อมด้วยเครื่องมือและข้อมูลทั้งหมดตอนนี้เขาต้องเริ่มร่างแรก โดยพื้นฐานแล้วเขาต้องเขียนแบบร่างแรกในรายละเอียดโดยกล่าวถึงทุกสิ่งเช่นกิจกรรมกระบวนการและประสบการณ์ทั้งหมด

ตรวจสอบและสรุปผล

เมื่อร่างรายงานแล้วผู้ร่างรายงานจะต้องได้รับการตรวจสอบก่อนจากนั้นรุ่นพี่หรือเพื่อนร่วมงานที่อาจให้ความช่วยเหลือเขา ในระหว่างการตรวจสอบผู้ตรวจสอบควรตรวจสอบทุกรายละเอียดของรายงานและค้นหาข้อบกพร่องที่ต้องได้รับการแก้ไข

เนื้อหาของรายงานการทดสอบการเจาะ

ต่อไปนี้เป็นเนื้อหาทั่วไปของรายงานการทดสอบการเจาะ -

บทสรุปผู้บริหาร

  • ขอบเขตงาน
  • วัตถุประสงค์ของโครงการ
  • Assumption
  • Timeline
  • สรุปผลการวิจัย
  • สรุปคำแนะนำ

ระเบียบวิธี

  • Planning
  • Exploitation
  • Reporting

การค้นพบรายละเอียด

  • ข้อมูลระบบโดยละเอียด
  • ข้อมูลเซิร์ฟเวอร์ของ Windows

อ้างอิง

  • Appendix