Struktura reportu (Report Structure)

Jak již bylo zmíněno v úvodní přednášce, report z penetračního testování se obvykle dělí na dvě hlavní části, aby vyhověl potřebám různých cílových skupin – od managementu po technické specialisty.

Struktura podle PTES (Penetration Testing Execution Standard)

PTES struktura reportu
  • Executive Summary (Manažerské shrnutí):
    • Přehled na vysoké úrovni (high-level), který popisuje hlavní výsledky testování.
    • Dopad na byznys (Business impact).
    • Seznam těch nejkritičtějších nálezů (the most critical findings).
  • Technical Report (Technická zpráva):
    • Popis metodiky penetračního testování.
    • Detailní popis nálezů a jejich závažnosti (severity).
    • Kroky potřebné k exploataci (Exploitation steps) – jak zranitelnost zneužít.
    • Způsob nápravy a doporučení (Remediation and recommendation).

Struktura podle OWASP (Open Worldwide Application Security Project)

OWASP struktura reportu
  • 1. Introduction (Úvod):
    • Version Control (Řízení verzí), Table of Contents (Obsah), The Team (Tým), Scope (Rozsah testování), Limitations (Omezení), Timeline (Časová osa), Disclaimer (Prohlášení o vyloučení odpovědnosti).
  • 2. Executive Summary (Manažerské shrnutí):
    • Cíl testování (The objective of the test).
    • Klíčová zjištění v obchodním kontextu (Key findings in a business context).
    • Strategická doporučení pro byznys.
  • 3. Findings (Nálezy):
    • Shrnutí nálezů (Findings Summary).
    • Detaily nálezů (Findings Details).
    • Kroky exploatace (Exploitation steps).
    • Náprava a doporučení (Remediation and recommendation).