Je suppose que la plupart des pentesters lorsqu’on leur demande, « qu’est-ce qu’ils sont le moins pour dans les tests de pénétration? » – répondra qu’en écrivant les rapports de ces tests. Il s’agit d’un processus assez ardu, qui prend beaucoup de temps et exige de décrire les vulnérabilités constatées pour différents types de publics. J’ai écrit à ce sujet ici –« Comment devrait ressembler un bon rapport de test de pénétration? »
Toutefois, ce processus peut être simpé ou automatisé. Avec notre aide vient ici l’outil Serpico. Il s’agit d’un programme qui génère des rapports à partir de modèles créés précédemment. Il permet de construire une « base de connaissances » avec des vulnérabilités souvent récurrentes et de les ajouter au rapport en cours de création. Cela se fait par une simple sélection de la liste. Nous trouverons quelques modèles prêts à l’homme immédiatement après le lancement du programme. Un autre avantage de l’outil est la possibilité de collaborer en parallèle sur un rapport avec d’autres pentesters.
L’outil peut être trouvé sous le lien – Serpico.