بهرهبرداری (exploitation) در تست نفوذ
در تست نفوذ بهرهبرداریها را در مقابل آسیبپذیریهایی که (گاهی با استفاده از یک ابزار مانند Metasploit ) کشف کردهایم، در تلاش برای دسترسی به سیستمهای مشتری اجرا میکنیم. همانطور که میبینید، بعضی از آسیبپذیریها در تست نفوذ، مانند ورود به سیستم با گذرواژههای پیش فرض، به راحتی قابل استفاده هستند.
مرحله پس از بهره برداری (post-exploitation) در تست نفوذ
گزارش نویسی در تست نفوذ
مرحله نهایی تست نفوذ، ارائه گزارش است. این جایی است که یافتههای خود را به مشتری به شیوهای قابل درک انتقال میدهیم. در تست نفوذ به آنها میگوییم که آنها به درستی کار میکنند، جایی که آنها باید وضعیت امنیتی خود را بهبود ببخشند، چطور وارد شوید، آنچه پیدا کردید، چگونه مشکلات را حل کنید و غیره.
نوشتن یک گزارش خوب تست نفوذ، یک هنر است که نیازمند تمرین برای کسب مهارت است. شما باید یافتههای خود را به وضوح به همه، از کارمندان IT متعهد برای رفع آسیبپذیریها تا مدیران بالارتبه انتقال دهید که در مورد تغییرات با ممیزیهای خارجی اظهار نظر کنند. به عنوان مثال، اگر یک شخص غیرفنی عبارت زیر را بخواند "من از MSOS-067 برای گرفتن یک shell استفاده کردم"، ممکن است تصور کند منظور شما از shell یک خرچنگ است! (در حالیکه منظور، گرفتن یک امکان ارتباطی برای نفوذ به سیستم می باشد). گزارش تست نفوذ باید شامل خلاصه اجرایی و گزارش فنی باشد، همانطور که در بخشهای زیر بحث شده است.