Что такое пентест
Тестирование на проникновение — контролируемая имитация атак для выявления уязвимостей. SAQTEK проводит пентесты по OWASP, PTES и OSSTMM.
Виды тестирования
Black Box
Без информации о системе. Имитация внешнего злоумышленника.
Grey Box
Ограниченная информация: базовые учётные записи, схема сети.
White Box
Полный доступ к исходному коду и архитектуре. Максимально глубокий анализ.
Этапы проведения
1. Планирование — согласование области, методов, подписание NDA.
2. Разведка — сбор информации: домены, IP, технологии, порты.
3. Анализ уязвимостей — сканирование и ручная проверка.
4. Эксплуатация — попытки использования уязвимостей.
5. Пост-эксплуатация — оценка глубины доступа и бизнес-влияния.
6. Отчётность — описание, доказательства, CVSS, рекомендации.
Каждая уязвимость классифицируется по CVSS v3.1. Критические закрываются в первые 24 часа.
Структура отчёта
Executive Summary — для руководства: общая оценка, риски, приоритеты.
Technical Report — для ИТ/ИБ: proof-of-concept, инструкции по устранению.