Пентест заканчивается не получением Domain Admin, не запуском сканера и не красивым скриншотом. Пентест заканчивается отчётом, по которому заказчик должен понять:
- что именно проверили;
- что удалось взломать;
- почему это стало возможным;
- к каким последствиям может привести атака;
- что и в каком порядке необходимо исправлять.
Можно качественно провести техническую часть и полностью испортить результат плохим отчётом. Например, оставить в документе комментарии вроде «добавить скрин», не указать охват инфраструктуры, смешать все площадки в один список и приложить скриншоты без дат и контекста.
Именно такие проблемы превращают результат пентеста в недоказуемый набор утверждений.
В первую очередь — соответствие техническому заданию
Отчёт как минимум должен подтверждать выполнение ТЗ.… Читать далее…
