👉 Рекомендации актуальные для любого проекта:
⠀
1. Весь отчет должен быть как ГОСТ: единый стиль изложения, рекомендации в одних падежах, пунктуация, описание рисунков, схем, таблиц. Так, чтобы всем было приятно на него смотреть, а содержание было предельно ясным.
⠀
2. Детальное описание недостатков. Не просто общее описание, а для конкретных случаев: где нашли уязвимость, в каком параметре или модуле (на картинках приведен пример).
⠀
3. Примеры эксплуатации. Показаны найденные баги, прикреплена картинка, как пруф. Читающий может повторить действие с картинки. Также детальное описание процесса тестирования, ссылки на базы уязвимостей ФСТЭК России или техник MITRE.
⠀
4. Рекомендации также прописаны для конкретных случаев, описаны точечные советы, именно для того фреймворка, который использует заказчик. Нет двусмысленности.
⠀
5. Резюме работы с цифрами, рекомендациями и выводом.
⠀
6. Отчет оформлен на основе заданных заказчиком вопросов перед проектом. Затем идет то, что специалисты считают важным и релевантным. Если вопросов не было, то по иерархии критичности всех «находок».
⠀
👉 Как создать условия для качественного пентеста?
⠀
— Ограничивая охват работ или инструментарий исполнителя, заказчик сам себе ставит палки в колёса, получая отчёт, который не имеет никакого отношения к реальному состоянию защиты (при этом потратив время и заплатив деньги за услугу).
⠀
— Услугу оказывает компания, для которой этот вид работ профильный. Она имеет штат квалифицированных специалистов, которые понимают, как добиться результата. Непрофильная компания с большой долей вероятности отдаст заказ на аутсорс с неизвестным итоговым результатом.
⠀
В следующем посте расскажем про все красные флаги 🚩 в отчетах — признаки моветона, дилетантства и просто некачественной работы.
⠀
П.С. Мы не против показать товар лицом — выслать обезличенный пример нашего канонического отчета → по запросу в ЛС или почту, велкам.
⠀
#бенчмарк_пентеста
⠀
1. Весь отчет должен быть как ГОСТ: единый стиль изложения, рекомендации в одних падежах, пунктуация, описание рисунков, схем, таблиц. Так, чтобы всем было приятно на него смотреть, а содержание было предельно ясным.
⠀
2. Детальное описание недостатков. Не просто общее описание, а для конкретных случаев: где нашли уязвимость, в каком параметре или модуле (на картинках приведен пример).
⠀
3. Примеры эксплуатации. Показаны найденные баги, прикреплена картинка, как пруф. Читающий может повторить действие с картинки. Также детальное описание процесса тестирования, ссылки на базы уязвимостей ФСТЭК России или техник MITRE.
⠀
4. Рекомендации также прописаны для конкретных случаев, описаны точечные советы, именно для того фреймворка, который использует заказчик. Нет двусмысленности.
⠀
5. Резюме работы с цифрами, рекомендациями и выводом.
⠀
6. Отчет оформлен на основе заданных заказчиком вопросов перед проектом. Затем идет то, что специалисты считают важным и релевантным. Если вопросов не было, то по иерархии критичности всех «находок».
⠀
👉 Как создать условия для качественного пентеста?
⠀
— Ограничивая охват работ или инструментарий исполнителя, заказчик сам себе ставит палки в колёса, получая отчёт, который не имеет никакого отношения к реальному состоянию защиты (при этом потратив время и заплатив деньги за услугу).
⠀
— Услугу оказывает компания, для которой этот вид работ профильный. Она имеет штат квалифицированных специалистов, которые понимают, как добиться результата. Непрофильная компания с большой долей вероятности отдаст заказ на аутсорс с неизвестным итоговым результатом.
⠀
В следующем посте расскажем про все красные флаги 🚩 в отчетах — признаки моветона, дилетантства и просто некачественной работы.
⠀
П.С. Мы не против показать товар лицом — выслать обезличенный пример нашего канонического отчета → по запросу в ЛС или почту, велкам.
⠀
#бенчмарк_пентеста