Cuando realizas un test de penetración, una de las cosas más complicadas y que nunca suelen comentarte es cómo realizar el informe final. Puedes ser muy bueno realizando y consiguiendo entrar en equipos remotos, aprovechando y descubriendo vulnerabilidades, pero cuando alguien te pide que lo hagas, lo que realmente quiere es un informe final comprensible. Y COMPRENSIBLE es algo muy importante, puesto que se puede dar el caso de que alguna, sino todas, las personas que lo van a leer no sean técnicas y por lo tanto no sepan de lo que se está hablando. Es por ello que en dicho informe hay que aclarar lo que se ha realizado, cómo se ha realizado y la magnitud de la vulnerabilidad descubierta, mezclando lenguaje técnico (cómo se hizo) con lenguaje no técnico (qué se hizo y qué podría pasar si alguien lo hiciera).
Hoy descubrí en el blog de la gente de Ofensive Security, los creadores de BackTrack, un ejemplo de informe de resultados finales, listo para entregar al cliente.
Os dejo un enlace al mismo, del que espero que pueda ser a alguien de ayuda.
No hay comentarios :
Publicar un comentario