📖
Структура пентест-звіту
Як писати якісний звіт: Executive Summary, технічна частина, рекомендації.
Чому звіт — найважливіша частина пентесту?
Знайти вразливість недостатньо. Якщо клієнт не розуміє проблему і як її виправити — цінність пентесту нульова. Хороший звіт = цінний продукт.
Цільова аудиторія
- Executive Summary — для CEO/Board: бізнес-ризики, загальна оцінка, ROI виправлення
- Technical Details — для розробників і security team: точні кроки відтворення, код
Структура звіту
1. Tittle Page
Назва проекту, дата, версія, авторі, класифікація (Confidential).
2. Executive Summary (1-2 сторінки)
- Загальна оцінка рівня безпеки
- Кількість знахідок по критичності
- 3-5 ключових висновків
- Пріоритетні рекомендації
- Без технічного жаргону
3. Scope & Methodology
- Що тестувалось (IP, URL, API)
- Що не тестувалось (out of scope)
- Методологія (PTES, OWASP)
- Терміни тесту
- Тип (Black/White/Grey Box)
4. Summary of Findings
Таблиця всіх вразливостей з CVSS оцінкою.
5. Detailed Findings (основна частина)
Для кожної вразливості:
- Назва та CVE/CWE
- Критичність (CVSS score)
- Affected Systems
- Description
- Proof of Concept — кроки відтворення + скріншоти
- Business Impact
- Рекомендації по виправленню
- References (OWASP, CVE, etc.)
6. Appendix
- Сирі дані сканування (nmap output)
- Нерозкриті знахідки
- Глосарій
Кожна знахідка повинна бути відтворена командою клієнта. Якщо вони не можуть відтворити проблему за твоїми інструкціями — вона не буде виправлена. Пиши Proof of Concept як для людини, що ніколи не чула про цю вразливість.