قالب نوشتن گزارش تست نفوذ به نرم افزارهای اندرویدی

همانطور که می دانید در نهایت خروجی یک فرآیند تست نفوذ سنجی در قالب یک گزارش بایستی به کارفرما ارائه شود که این گزارش بر اساس نوع تست نفوذ متفاوت است ، قطعا خروجی تست نفوذ Application های اندرویدی تا حد زیادی با خروجی تست نفوذ های شبکه متفاوت است اما از جهاتی نیز شباهت هایی بین آنها وجود دارد . نوشتن گزارش آسیب پذیری ها و ارائه راهکارهای ممکن برای رفع مشکلات امنیتی موجود مهمترین فاکتورهای موجود در یک گزارش تست نفوذ است که هدف از انجام تست نفوذ در واقع دریافت همین گزارش از مجری تست نفوذ است . بصورت کلی قالب گزارش تست نفوذسنجی بر روی Application های اندرویدی به شرح زیر است :

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

خلاصه تست نفوذ یا Executive Summary

برخلاف همه تصوراتی که در خصوص ارائه گزارش های تست نفوذ سنجی شبکه وجود دارد ، یعنی ایجاد مقدمه های طولانی از اینکه چقدر این موضوع اهمیت دارد ، در گزارش های تست نفوذ فنی نرم افزارهای اندرویدی نیازی به نوشتن مقدمه وجود ندارد و در ابتدا تحلیلی خلاصه از نتیجه تست نفوذ به کارفرما ارائه می شود تا در همان ابتدا کارفرما متوجه شود که از نظر امنیتی در نهایت چه مشکلاتی وجود دارد و با دیدگاه منفی یا مثبت باید به Application از نظر امنیتی نگاه کند . در این قسمت ضمن ارائه گزارش کلی از امنیت یا آسیب پذیر بودن نرم افزار در قالب یک جدول رتبه بندی نام Application ، درجه امنیتی یا Security Grade و بصورت کلی سطح امنیتی نوشته می شود برای مثال جدول زیر نمونه ای از این جدول برای یک نرم افزار فرضی است :

گزارش تست نفوذ امنیت اندروید

در قسمت خلاصه می توانید از نام Application تست شده ، نام شرکت سازنده و مدت زمان تست و نوع تست از نظر سطح اطلاعات مورد نیاز برای حمله اشاره کنیم ، در ادامه جدول بالا شما می توانید راهنمای جدول را جدول معیارهای ارزیابی نرم افزار را برای کارفرما نمایش بدهید که کارفرما متوجه شود که منظور از درجه D یا A در تست امنیت چه چیزی است ، برای مثال یک جدول ارزیابی به شکل زیر خواهد بود :

جدول ارزیابی امنیتی تست نفوذ نرم افزارهای اندرویدی

تعریف محدوده یا حوزه تست ( Scope )

تعیین کردن Scope در تست نفوذ سنجی شبکه نیز وجود دارد ، در این قسمت بایستی یا در قالب جدول یا در قالب گزارش متنی به کارفرما اعلام شود که چه نسخه هایی از نرم افزار بر روی کدام یک از سیستم عامل های اندروید یا iOS تست شده اند و اینکه سطح دسترسی به نرم افزار و انجام تست نفوذ در چه حدی بوده است ، برای مثال ما یک برنامه نسخه 1.1 را بر روی سیستم عامل اندروید و همان برنامه نسخه 1.2 را بر روی سیستم عامل iOS تست می کنیم و این باید دقیقا اعلام شود . در انتها باید اعلام شود که نفوذ به نرم افزار از طریق کاربری با دسترسی بالا انجام شده است یا یک کاربر عادی این تست را انجام داده است . جدول زیر نمونه ای از گزارش این قسمت از گزارش تست نفوذ Application های موبایل می باشد :

گزارش تست نفوذسنجی اندرویدی

اعلام محدودیت ها یا Limitations

در این مرحله از گزارش به کارفرما محدودیت هایی که در تست نفوذ برای تیم تست نفوذسنجی وجود داشته است و در صورت برداشته شدن محدودیت کیفیت تست و نتیجه ارزیابی ها بهبود پیدا می کند اعلام می شود ، برای مثال تیم تست نفوذ اعلام می کند که تست در طی 24 ساعت بر روی Application انجام شده است و به همین دلیل اگر زمان بیشتری در اختیار تیم نفوذ قرار داشت گزارش بهتری ارائه می شد ، یا اینکه دسترسی به نرم افزار از طریق یک کاربر محدود انجام شده است و در صورتیکه دسترسی کاربر مدیر برای تست امنیت در اختیار تیم نفوذ قرار می گرفت نتیجه متفاوت تر خواهد بود و در نهایت اینکه در صورتیکه سورس کد نرم افزار و API ها و قسمت های مختلف آن در اختیار تیم تست نفوذ قرار می گرفت ، تحلیل های امنیت بسیار دقیقتری می توانست بر روی آن انجام شود و به همین ترتیب این موارد اعلام می شود.

تجزیه و تحلیل نتیجه تست نفوذ

در این قسمت شما به عنوان یک کارشناس تست نفوذ سنجی اندروید یا iOS بایستی ارزیابی های خودتان را هم بصورت متنی و هم در قالب جدول به کارفرما ارائه بدهید ، در این قسمت شما با عنوان کردن تاریخ شروع و تاریخ پایان تست نفوذ سنجی باید اعلام کنید که چه کشف هایی از نظر امنیتی بر روی نرم افزار داشته اید ، این کشف ها یا مشکلات در پنج طبقه بندی بسیار خطرناک یا Critical ، ریسک بالا یا High Risk ، ریسک متوسط یا Medium Risk ، ریسک پایین یا Low Risk و همچنین شناسایی اطلاعات یا Information Issues در قالب گزارش مطرح می شوند. در ادامه مثالی از جدول تجزیه تحلیل برای شما در پایین نمایش داده ایم ، دقت کنید که حتی در این قسمت نیز جزئیات کشفیات از نظر فنی مطرح نمی شوند و در قسمتی جداگانه در ادامه به عنوان پیوست گزارش بصورت دقیق مشکلات شناسایی شده مطرح می شوند ، به جدول زیر دقت کنید :

ارزیابی امنیتی اندروید

پیوست ها با عنوان کشف

در مرحله قبلی عنوان کشف در جدول قرار داده شد و در اینجاست که به عنوان پیوست A و B و C و .. هر یک از مشکلات در قالب پیوست معرفی ، توضیح و نحوه رفع مشکل نیز آموزش داده می شود . برای مثال در تصویر زیر همانطور که مشاهده می کنید مشکلی که در جدول بالا وجود داشته است یعنی ذخیره شده اطلاعات حساس بر روی حافظه یا Sensitive Information Logged into Local Storage به عنوان کشفیات مطرح شده است ، در این قسمت توضیحات آسیب پذیری ، محل وقوع مشکل از نظر آدرس ، عکس تصویر یا Screenshot و اطلاعات دیگر در خصوص نحوه نفوذ و غیره در اختیار کارفرما قرار داده می شود . در این قسمت می توانید در هر مرحله از ابزارهایی که برای تست نفوذ استفاده شده است و ارسال پیشنهادات برای برطرف کردن مشکل نیز استفاده کنید.

نویسنده :‌آرتین غفاری

منبع : security.tosinso.com

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد


نظرات