Penetratietests zijn het proces waarbij een systeem wordt getest om beveiligingsproblemen vast te stellen. Dit wordt vaak gedaan als een voorbereidende stap voordat het systeem wordt ingezet of als een controle om te zien hoe goed een systeem is beveiligd. Een penetratietest rapport is een document dat een overzicht geeft van de kwetsbaarheden die tijdens een penetratietest zijn gevonden.
Solide rapportagevaardigheden zijn een waardevol instrument om verbinding te maken met een klant. Als pentester is dit vooral handig om uit te leggen wat je hebt gedaan bij het testen van applicaties en netwerken. Het rapport biedt een kans om te verduidelijken wat het beveiligingsniveau van het doelwit is, de manier waarop verschillende aanvallen zijn uitgevoerd en wat voor soort werk is uitgevoerd tijdens de pentest opdracht.
Een penetratietestrapport moet het volgende bevatten:
Introductie:
We beschrijven hier wat de doelstellingen zijn van het afnemen van de test. Wat zijn de onderzoeksvragen die de cliënt beantwoord wil hebben? Kan een aanvaller bijvoorbeeld zonder toestemming toegang krijgen tot bepaalde gegevens in het systeem? Is het mogelijk om de rechten van basisgebruikers te verhogen naar beheerdersniveau? Het is een goede gelegenheid om er nogmaals op te wijzen waarom deze beoordeling zo belangrijk is.
Tools en Opzet:
De gebruikte tools en de setup die nodig was om de penetratietest te starten. Dit kunnen ook de verstrekte accounts bevatten en of de test is uitgevoerd als een white, black of grey box.
Methode:
Dit hoofdstuk van het penetratietestrapport beschrijft verschillende stappen of fasen van de penetratietestmethodologie.
Dat wil zeggen: er zijn zeven fasen tijdens een penetratietest. Deze zeven fasen zijn:
Er bestaan verschillende standaardkaders en methodieken voor het uitvoeren van penetratietesten. Deze omvatten de Open Source Security Testing Methodology Manual (OSSTMM) , de Penetration Testing Execution Standard (PTES) , de NIST Special Publication 800-115 , het Information System Security Assessment Framework (ISSAF) en de OWASP Testing Guide.
Scope en afspraken
Een bepaling van de scope is belangrijk wanneer een test wordt uitgevoerd. U moet bijvoorbeeld weten wat de IP-ranges en URL’s zijn van de webapplicaties die binnen de scope vallen. In deze paragraaf beschrijf je welke segmenten tot de “te testen” scope behoren en welke onderdelen expliciet zijn uitgesloten of andere beperkingen.
Management Samenvatting
Pentest-testrapporten beginnen regelmatig met een samenvatting op hoog niveau van de ontdekkingen van de pentester. Deze samenvatting zal naar verwachting een korte samenvatting zijn van de resultaten voor managers en directeuren van organisaties, die op zoek zijn naar significante punten zonder in de technische details van het rapport te willen duiken.
Dit overzicht onthult waar de pentesters de beveiligingscontroles hebben gehackt en welke gegevens ze binnen de netwerken hebben kunnen onthullen. Het meest opvallende aspect en de gevaren waarmee het bedrijf op dat moment wordt geconfronteerd. Daarna volgt optioneel een paragraaf met de sterke en zwakke punten in de beveiliging die zijn gevonden.
Daarnaast worden voorstellen voor beveiligingsupgrades toegelicht, inclusief wat eerst moet worden beveiligd, gevolgd door andere korte-, middellange- en langeafstandsdoelstellingen voor het verbeteren van de beveiliging van de organisatie.
Bevindingen overzicht voorbeeld
| Number | Vulnerability name | Severity | CVSS score |
| 1 | Remote Code Execution | Critical | 9.9 |
| 2 | Command Injection | Critical | 9.0 |
| 3 | Cross-Site Scripting | High | 7.5 |
| 4 | HTTP Header Injection | Medium | 6.9 |
| 6 | Programming error message | Low | 3.9 |
Titel Kwetsbaarheid:
De titel van het beveiligingslek moet een korte naam zijn die de bevinding beschrijft, zoals Cross-site scripting of niet-ondersteunde versiedetectie.
Kwetsbaarheid Omschrijving
Dit segment bevat een uitleg van het probleem en een verduidelijking van het effect dat het kan veroorzaken wanneer het wordt misbruikt. Dit wordt meestal algemeen en duidelijk gehouden om de klant een idee te geven van het probleem. U kunt hier uitleggen hoe het probleem werkt en details over de huidige situatie van de klant voor andere delen van het rapport bewaren.
Kwetsbaar element:
Dit is de applicatie of server waar de kwetsbaarheid is gevonden, dit kan een IP-adres, URL of iets anders zijn waar de vondst vandaan komt.
Reproductie stappen:
Dit onderdeel wordt voornamelijk gebruikt voor beheerders of ontwikkelaars die de bevinding daadwerkelijk moeten oplossen en controleren of de fix op de juiste manier is geïmplementeerd.
Om de bevinding te kunnen reproduceren, moet in zeer eenvoudige stappen worden geschreven wat te doen. Van elke klik tot elk item, ondersteund met screenshots en korte video’s die als bijlage kunnen worden toegevoegd.
Gewoonlijk moeten hackers exploits schrijven als ze kwetsbaarheden vinden. Andere zijn beschikbaar op internet. De tester moet gedetailleerde exploitstappen toevoegen of de lezer van het rapport naar de openbare exploitcode leiden.
Ernst:
Dit is een belangrijk onderdeel om de klant te vertellen wat de impact van het beveiligingslek zou zijn als het met succes zou worden misbruikt. Maak de verklaring van de impact zo realistisch mogelijk, in plaats van op te schrijven wat er theoretisch zou kunnen gebeuren. De beste manier om dit te doen, is door u aan de onmiddellijke gevolgen te houden, zoals “Een aanvaller kan toegang krijgen tot uw gebruikersaccount.”
Risico:
Alleen maar uitdrukken dat iets gevaarlijk is, betekent niet noodzakelijk dat iedereen het risico begrijpt. Daarom is het erg belangrijk om uit te leggen waarom het zo riskant is. Als er bijvoorbeeld een kwetsbaarheid voor het onbeperkt uploaden van bestanden wordt gevonden, moet worden vermeld dat de aanvaller hierdoor op afstand code kan uitvoeren en de rechten binnen de applicatie kan verhogen om alle privégegevens van de gebruiker te bekijken, zoals medische of bankgegevens.
De OWASP Risk Rating Methodology beschrijft dit op een schaal van Laag tot Hoog. https://owasp.org/www-community/OWASP_Risk_Rating_Methodology
CVSS Score:
Een CVSS-score (Common Vulnerability Scoring System) ondersteunt bedrijven bij het bepalen van de ernst van een probleem op een schaal van 0 tot 10 – geen risico voor kritieke . Het is daarom een belangrijk onderdeel om aan te tonen waarom u een bepaalde risicocategorie aan een bepaalde bevinding heeft toegekend.
CVSS bestaat uit drie metrische groepen: basis, tijd en omgeving, elk bestaande uit een reeks metrieken, zoals hieronder weergegeven:
Referenties:
Hier zullen links worden toegevoegd met meer informatie over de vondst uit bekende bronnen. Zoals de leverancier of CVE details. CVE staat voor “Common Vulnerabilities and Exposures”. Dit systeem biedt een referentiemethode voor algemeen bekende kwetsbaarheden en blootstellingen op het gebied van informatiebeveiliging. https://cve.mitre.org/
Oplossing:
Na het doornemen van de subtiliteiten van de pentest, zal het volgende gebied mogelijke oplossingen voor elke bevinding laten zien.
De toelichting begint met een korte notitie van wat de volgende stap is, daarna wordt er een meer afgebakende toelichting gegeven, toegespitst op de specifieke situatie van de klant.
Het begin van de aanbeveling ziet er bijvoorbeeld als volgt uit:
- Install the latest software version of a component.
- Upgrade the current hardware asset
- Implement secure passwords.
De gedetailleerde beschrijving is:
- Version 3.2.1 is found on component X. This version is vulnerable for CVE-xx-xx-xx. This is a remote code execution vulnerability. The component has to be updated to version 4.0.1.
- The current hardware is EOL(End of Life). The hardware needs to be replaced by a supported version. Make sure the new hardware is supported by the vendor and receives frequent updates.
- Default passwords are being used on these devices. Ensure that all the passwords are replaced with unique combinations of capital and lowercase letters, special characters, and numbers with a minimum length of 12 characters. The password should not contain dictionary words. Privileged accounts are advised to use 25 characters or greater.
Rapport conclusie
De conclusie kan bestaan uit twee delen, aanbevelingen en de risicosamenvatting . De aanbevelingen, waarin advies wordt gegeven over het patchen, verbeteren of implementeren van beveiligingsmaatregelen waar nodig. Het doel is niet alleen om de probleemgebieden op te sommen die moeten worden aangepakt, maar ook om oplossingen voor de problemen te bieden. Strategische en tactische aanbevelingen om de klant te helpen bij het nemen van risicobeperkende beslissingen op het gebied van investeringen in middelen.
Final Note
Het penetratietestrapport is de tool die de pentester gebruikt om zijn werk aan de klant te communiceren. Daarom moet het voor verschillende kennisniveaus gemakkelijk te begrijpen zijn, zodat ze beslissingen kunnen nemen om de geïdentificeerde risico’s aan te pakken.
Onze penetratietesttraining omvat het schrijven van een penetratietestrapport en andere technische onderwerpen in detail. Schrijf u in op onze blog en volg ons op Twitter en LinkedIn .
