Kluczową częścią każdego raportu z testów penetracyjnych jest sekcja zawierająca szczegóły dotyczące podatności. To właśnie w tym miejscu inżynierowie ds. bezpieczeństwa, administratorzy i deweloperzy spędzają najwięcej czasu. W tym artykule opiszę typowe elementy tej sekcji w raporcie z testów penetracyjnych.

Sekcja szczegółów podatności zawiera listę podatności wykrytych podczas testów penetracyjnych, wraz ze wszystkimi istotnymi informacjami technicznymi. Zazwyczaj są one uporządkowane według malejącej istotności – od najbardziej krytycznych do najmniej poważnych.

Każde znalezisko (podatność lub błędna konfiguracja bezpieczeństwa) zawiera zwykle następujące informacje:

Tytuł podatności

Tytuł pozwala na szybkie zrozumienie, czego dotyczy podatność.

Numer identyfikacyjny podatności

Unikalny identyfikator (ID) umożliwia łatwe odniesienie się do podatności oraz śledzenie, które podatności zostały naprawione, a które pozostają otwarte.

Istotność

Istotność podatności w raporcie testów penetracyjnych określa, czy dana podatność jest krytyczna, wysoka, średnia, niska czy jedynie informacyjna. W Zigrin Security dodatkowo podajemy obliczoną wartość numeryczną w skali od 0 do 10 oraz pełne odniesienie do CVSS. Dzięki temu nasi klienci mogą lepiej zrozumieć czynniki wpływające na ocenę podatności.

Kategoria

Jeśli podatność można sklasyfikować, raport zawiera odpowiednią kategorię. Informacja ta może pomóc w analizie, jakie rodzaje podatności występują najczęściej, a co za tym idzie – w podejmowaniu działań zapobiegawczych w dłuższej perspektywie. Znanym standardem klasyfikacji podatności jest Common Weakness Enumeration (CWE). Więcej informacji można znaleźć na stronie: https://cwe.mitre.org/ https://cwe.mitre.org/

Opis

W tej sekcji znajduje się ogólny opis podatności. Zawiera informacje dotyczące jej przyczyny, warunków oraz kroków wymaganych do jej wykorzystania, a także wyjaśnienie potencjalnych skutków. Opis ten nie dotyczy konkretnej podatności wykrytej w Twojej aplikacji, lecz stanowi ogólne tło, które pomoże Ci lepiej zrozumieć charakter zagrożenia.

Zalecenia

Ta sekcja przedstawia kroki niezbędne do usunięcia lub, w niektórych przypadkach, złagodzenia problemu bezpieczeństwa.

Zalecenia dotyczące usunięcia podatności koncentrują się na całkowitym wyeliminowaniu jej z miejsca, w którym została wykryta. Jednak czasami pełne usunięcie podatności jest trudne, ponieważ wymagałoby znaczącej przebudowy aplikacji. W takich sytuacjach raport z testów penetracyjnych może zawierać dodatkowe zalecenia dotyczące mitygacji. Ich celem jest wdrożenie mechanizmów, które ograniczą skutki podatności lub utrudnią jej wykorzystanie, ale nie wyeliminują jej całkowicie.

Takie podejście pozwala na szybkie i częściowe ograniczenie ryzyka, co daje więcej czasu na właściwe wdrożenie pełnych poprawek.

Szczegóły techniczne

Ta sekcja opisuje dokładne miejsce w aplikacji, w którym występuje podatność. Znajdziesz tu kroki pozwalające na jej odtworzenie oraz ocenę, jak łatwo lub trudno byłoby przeciwnikowi faktycznie ją wykorzystać.

Często zawiera ona fragmenty kodu, które umożliwiają szybkie uruchomienie testu i samodzielne zobaczenie podatności w działaniu. Znajdziesz tu również zrzuty ekranu przedstawiające udaną eksploitację lub dowody na istnienie podatności.

W Zigrin Security uważamy, że przedstawienie rzeczywistego wpływu podatności jest kluczowe, ponieważ pozwala w pełni zrozumieć, jak niebezpieczna jest w kontekście Twojej aplikacji. Osiągamy to, pisząc rzeczywiste exploity dla wielu wykrywanych przez nas podatności. Dzięki temu możesz zobaczyć skutki podatności na żywo w kontrolowanym środowisku Twojej aplikacji webowej.

Referencje

Ostatnia część opisu podatności zawiera listę materiałów referencyjnych, czyli zewnętrznych źródeł, które mogą pomóc Ci lepiej zrozumieć podatność lub wdrożyć odpowiednie poprawki.

Są to kluczowe sekcje każdego opisu podatności w raporcie z testów penetracyjnych.

Daj mi znać w komentarzach, jakie inne informacje chciałbyś zobaczyć w sekcji szczegółowego opisu podatności w raporcie z testów penetracyjnych.