Raccolta delle informazioni in un Penetration Test
Durante il processo di penetration test, è importante tenere tracce complete di ogni azione o attività svolta, nonché i risultati e le motivazioni di ciascuna.
Nel corso del tempo, sviluppando le capacità, conoscenze ed esperienze come pentester, impareremo meglio cosa dovrebbe e non dovrebbe essere documentato o registrato.
Man mano che si diventa più esperti e competenti come pentester, è probabile che impareremo a conoscere prodotti e utilità di terze parti che possono aiutarci a documentare tutti i passaggi senza essere troppo invadenti o bloccanti per il nostro lavoro.
Si dovrebbe almeno mantenere una traccia delle seguenti azioni:
• Exploit riusciti;
• Exploit eseguiti;
• Guasto nell’infrastruttura durante un processo di Pentesting.
La domanda è: come puoi conservare queste informazioni e includerle nel tuo report finale?
Molte opzioni sono disponibili; ecco alcuni dei modi che potresti prendere in considerazione per la registrazione di queste informazioni e per l’inclusione nei tuoi rapporti:
- Screenshot: per documentare le tue azioni è necessario acquisire schermate di exploit, errori, messaggi o altri risultati riusciti e non.
Ad esempio, dopo il completamento con successo di un determinato exploit, acquisisci uno screenshot del rapporto per mostrare i risultati di tale exploit e per proteggerti dalla possibilità che un exploit non funzioni una seconda volta.
Gli screenshot che mostrano i messaggi di errore e altri output sono utili anche perché possono essere presentati al cliente e al personale tecnico per illustrare problemi specifici che devono affrontare. - Logging: poiché indubbiamente verrà generata una grande quantità di informazioni che andranno nei registri di varie applicazioni su vari sistemi, è logico che anche queste informazioni vengano incluse nel rapporto.
I registri che scegli di includere come parte del rapporto variano notevolmente a seconda del cliente, ma dovremmo considerare di avere alcuni log inclusi nella documentazione.
A causa dell’enorme volume di log che possono essere generati, a questo punto potresti scoprire che un rapporto in formato digitale può essere più conveniente. - Script: se necessario, potremmo includere qualsiasi script che abbiamo scritto o di altro tipo che è stato utilizzato durante il processo di Penetration test.
Tipicamente questo viene fatto per illustrare alcuni dettagli al personale tecnico o al personale specializzato.