Создание отчета по пентесту с помощью WriteHat

Отчет пентеста

WriteHat — это инструмент для создания отчетов, разработанный на базе бесплатного фреймворка веб-приложений Django. WriteHat позволяет создавать красивые отчеты по пентесту. Давайте узнаем, как установить и использовать WriteHat.

Еще по теме: Как создать отчет OWASP ZAP

Установка WriteHat

Самый быстрый способ установить WriteHat — использовать Docker и Docker Compose, которые можно установить следующей командой:

Чтобы развернуть WriteHat, выполните следующие команды:

Предыдущая команда развернет приложение, используя файл docker-compose.yml:

Использование WriteHat для создания отчета по пентесту

После установки можно создать Engagement — общий контейнер, который будет содержать отчеты и результаты.

Создание engagement WriteHat

После чего создается шаблон отчета, который содержит компоненты, которые хотим использовать для создания отчета по пентесту.

Создание шаблона отчета по пентесту

Продолжаем создавать Findings Database (сборник результатов), которые оцениваются одинаковым образом (по CVSS или DREAD). Можно создать несколько результатов для каждого Engagement.

Поиск в базе данных результатов

При создании нового результата у вас будет возможность выбрать уровень критичности:

  • Attack Vector (Вектор атаки)
  • Attack Complexity (Сложность атаки)
  • Privileges Required (Требуемые привилегии)
  • User Interaction (Взаимодействие с пользователем)
  • Scope (Область)
  • Confidentiality (Конфиденциальность)
  • Integrity (Целостность)
  • Availability (Доступность)
  • Exploit Code Maturity (Уровень зрелости эксплойта)
  • Remediation Level (Уровень устранения)
  • Report Confidence (Уверенность в отчете)
  • Confidentiality Requirement and IntegrityRequirement (Требование к конфиденциальности и Требование к целостности).

Создание нового результата пентестa

На следующем скрине детали опции Atack Vector (Вектора атаки):

Функция Вектора атаки WriteHat

На этом этапе надо выбрать, для каждой характеристики, уровень критичности уязвимости, которую мы обнаружили. Общая система оценки уязвимости (CVSS) — это система оценки, которая позволяет численно определить уровень критичности уязвимости. Уровень критичности показывает насколько опасна уязвимость.

Для этичного хакера базовый балл указывает на то, насколько тревожны характеристики уязвимости.

Диаграмма рисков CVSS отчета пентеста

Для определения значения CVSS используются наборы базовых метрик, которые помогают оценить уровень уязвимости. Также существуют специальные калькуляторы CVSS, которые используют эти метрики для оценки риска безопасности.

Для вычисления значения CVSS уязвимости можно использовать калькулятор NVD (Национальная база данных уязвимостей).

Подробности в официальном репозитории на GitHub.

ПОЛЕЗНЫЕ ССЫЛКИ:

Ban32

Хакер-самоучка, который может взломать тостер и настроить его на отправку вам утреннего приветствия в коде Морзе.

Добавить комментарий