Как написать протокол кили образец
Протокол кили (или протокол килинг) – это документ, фиксирующий результаты проверки или тестирования системы на уязвимости. В нем подробно описываются шаги тестирования, выявленные уязвимости и предложенные меры по их устранению. Ниже приведен пример такого протокола:
Протокол Кили
1. Общие сведения
- Дата проведения тестирования: 30 августа 2024 г.
- Время проведения тестирования: 10:00 – 16:00
- Место проведения тестирования: Офис компании XYZ, 2-й этаж, конференц-зал
- Имя тестировщика: Иванов Иван Иванович
- Должность тестировщика: Специалист по информационной безопасности
- Контактные данные тестировщика: ivanov@xyz.com, +7 (123) 456-7890
- Объект тестирования: Веб-приложение ABC (версия 1.2.3)
- Оценка защищенности веб-приложения от уязвимостей.
- Выявление потенциальных рисков безопасности.
- Предложение рекомендаций по улучшению безопасности.
- Сканер уязвимостей: Nessus 10.2
- Инструмент для тестирования SQL-инъекций: SQLMap 1.5
- Инструмент для анализа веб-приложений: Burp Suite Pro 2024.1
- Инструмент для анализа кода: SonarQube 9.5
4.1. Подготовка
- Определение целевых систем и диапазона тестирования.
- Получение разрешений и согласований на проведение тестирования.
- Настройка инструментов и сбор информации о тестируемом объекте.
- Сканирование уязвимостей: Запуск Nessus для выявления известных уязвимостей.
- Анализ веб-приложения: Использование Burp Suite для проверки на наличие XSS и CSRF.
- Тестирование на SQL-инъекции: Применение SQLMap для проверки уязвимостей базы данных.
- Анализ кода: Применение SonarQube для проверки статического кода на уязвимости.
5.1. Выявленные уязвимости
- XSS (Cross-Site Scripting):
- Описание: Неправильная обработка ввода пользователя в поле комментариев, что позволяет внедрять скрипты.
- Местоположение: http://example.com/comments[*]Риск: Средний
- Рекомендации: Применить фильтрацию ввода и экранирование данных на серверной стороне.
- SQL-инъекция:
- Описание: Уязвимость в форме входа, позволяющая вставлять SQL-код.
- Местоположение: http://example.com/login[*]Риск: Высокий
- Рекомендации: Использовать подготовленные выражения и параметризованные запросы.
- Ненадежное хранилище паролей:
- Описание: Пароли хранятся в базе данных в незашифрованном виде.
- Местоположение: База данных пользователей
- Риск: Высокий
- Рекомендации: Использовать алгоритмы хеширования и соление паролей.
Тестирование показало наличие нескольких уязвимостей, которые могут представлять серьезные риски для безопасности веб-приложения ABC. Рекомендуется устранить выявленные проблемы в соответствии с предложенными мерами.
7. Приложения
- Скриншоты уязвимостей.
- Логи сканирования.
- Копии отчетов инструментов тестирования.
- Имя тестировщика: Иванов Иван Иванович
- Подпись: ___________________
- Дата: 30 августа 2024 г.