Bu bo‘lim yuqori darajadagi rahbariyatga test doirasi va natijalarini tushunishga yordam berib, sinovning qiymatini tushunish va tuzatish ishlariga ruxsat berishga imkon beradi. Biz avval yirik tasvirni beruvchi qisqa va aniq ma’lumotlarni taqdim etamiz, so‘ngra to‘liq ijroiy xulosani keltiramiz.
Eng avvalo, test doirasini aniqlab olish muhim. Test boshlanishidan oldin kelishilgan aniq doiraning belgilanishi qaysi hududlar qamrab olinganligini belgilaydi. Biz aynan nimalarni sinovdan o‘tkazganimizni va nimalar doiradan chiqarilganligini aniq ko‘rsatishimiz kerak.
Agar vaqt yetishmovchiligi tufayli barcha kamchiliklarni batafsil hujjatlashtirish imkoni bo‘lmagan bo‘lsa, bu haqda ham ma’lumot berish lozim. Bu kelajakdagi testlar uchun doira to‘g‘ri belgilanishini ta’minlaydi. Doiraning hujjatlashtirilishi esa pentesterni barcha talab qilingan testlarni bajarmaganlikda ayblash ehtimolidan himoya qiladi.
Bundan tashqari, mijoz testga ajratilgan vaqt va budjet doirasida realistik modelga ega bo‘lishi uchun bu ma’lumotlar muhimdir.
Test o‘tkazilgan vaqt, sinov davomiyligi va test soatlari aniq bayon etilishi lozim.
Agar test davomida maxsus kelishuvlar mavjud bo‘lsa, ular ham qayd etilishi kerak. Masalan, agar test jarayonida hujumga qarshi himoya jamoasi (referee) bo‘lsa, ularning hisobotiga havola qilish kerak. Agar xizmat ko‘rsatishdan voz kechish hujumi (DoS) yoki ijtimoiy muhandislik testlari ruxsat etilgan bo‘lsa, bu ham qayd qilinishi lozim.
Agar muayyan sinov metodologiyasi (masalan, OWASP yoki PCI) ishlatilgan bo‘lsa, bu haqda ham eslatib o‘tish kerak.
Agar mijoz bizga akkauntlar taqdim etgan bo‘lsa, ular bu bo‘limda keltirilishi lozim.sdssssssss Masalan, web-ilova sinovidan o‘tgan bo‘lsa, qaysi akkauntlar ishlatilgani va hujumlar qayerdan amalga oshirilgani (IP manzillar) aniq yoziladi. Shuningdek, agar test davomida yangi akkauntlar yaratilgan bo‘lsa, mijoz ularni olib tashlaganligini tasdiqlash uchun ularning ro‘yxati berilishi lozim.
Misol tariqasida quyidagi tuzilmani ko‘rib chiqamiz:
Ijroiy Xulosa:
- Doira: <https://kali.org/login.php>
- Vaqt oralig‘i: 2022-yil 3-5 yanvar
- OWASP/PCI test metodologiyasi ishlatilgan
- Ijtimoiy muhandislik va DoS testlari doiraga kiritilmagan
- Hech qanday test akkauntlari taqdim etilmagan; test qora quti (black box) usulida tashqi IP orqali o‘tkazilgan
- Barcha testlar 192.168.1.2 IP-manzilidan amalga oshirilgan
Ushbu bo‘limda test jarayonining bosqichma-bosqich yuqori darajadagi sharhi keltiriladi, aniqlangan asosiy zaifliklarning jiddiyligi, konteksti va "eng yomon holatda" yuzaga kelishi mumkin bo‘lgan oqibatlari bayon etiladi.
Maqsad – mijozning xavfsizlik holati to‘g‘risidagi tasavvuri aniq bo‘lishini ta’minlashdir. Agar biz, masalan, kredit karta ma’lumotlarini o‘g‘irlashga imkon beruvchi SQL injeksiyani topsak, bu foydalanuvchilarga ochiq bo‘lgan saytning autentifikatsiya tizimidan o‘tish imkonini beruvchi zaiflikdan ko‘ra jiddiyroq xavf tug‘diradi. Shu sababli, asosiy xavfli zaifliklarga urg‘u berish muhim.