Pentest Report
“Pentest Report”
Problemática
Em uma empresa na qual eu trabalhei, eu fui um dos primeiros membros da esquipe de segurança ofensiva. Então nosso maior desafio no início foi criar um padrão dos relatórios de pentest. Precisava ser algo simples, padronizado e ao mesmo tempo que pudesse fornecer todas as informações necessárias. Quem trabalha com pentest sabe que a maior dor é sempre o relatório pois dependendo do formato você acaba perdendo mais tempo escrevendo do que testando as aplicações.
Ideia
Na comunidade de segurança é muito comum você ver as pessoas utilizando markdown como linguagem padrão para suas anotações, no time no qual eu fazia parte não era diferente. Então busquei uma forma de reutilizar as anotações em markdown para gerar um relatório, otimizando tempo e mantendo de forma padronizada.
Resultado
Utilizando poucas linhas de código, foi possível criar um modelo de relatório onde todas as páginas de sumário, metodologia, classificação de risco, entre outras, são criadas de forma automática. Fazendo com que o pentester tenha foco apenas em escrever as vulnerabilidades identificadas, além de ser totalmente customizável com logo da empresa, foto e cor.
Observação
Aqui estão os links para o meu repositório com o código do gerador de relatórios e também um link direto para um pdf de exemplo.
Posts:
- Post Board parte 2
- Post Board parte 1
- Guess Me Parte 2
- Guess Me Parte 1
- Food Store
- IOT Connect
- UnCrackable L1 Parte 2
- UnCrackable L1 Parte 1
- CVE-2022-26352
- DCA php
- Docker Code Analyzer
- Vulnado Parte 3
- Vulnado Parte 2
- Vulnado Parte 1
- Damm Vulnerable WebSocket
- OWASP ZAP Zed Attack Proxy
- Estratégias de um code review
- O que é code review?