Sizning yozmoqchi bo‘lgan pentest hisobotingiz uchun "Technical Findings and Remediation" bo‘limi eng muhim qism hisoblanadi. Bu bo‘lim pentest davomida aniqlangan barcha texnik zaifliklarni va ularni bartaraf etish uchun tavsiyalarni o‘z ichiga oladi. Shu sababli, hisobot tarkibini quyidagi tarzda shakllantirish maqsadga muvofiq:
Har bir topilma quyidagi formatda keltirilishi kerak:
| Ref | Risk | Issue Description and Implications | Recommendations |
|---|---|---|---|
| 1 | High | Account, Password, and Privilege Management is inadequate. 122,624 foydalanuvchi hisoblari tekshirildi: 722 hisob muddatsiz, 23,142 foydalanuvchi hech qachon tizimga kirmagan, 6 foydalanuvchi "Domain Administrator" guruhida, 968 hisobda default parollar ishlatilgan. | Tavsiyalar: Kuchli parol siyosatini joriy qilish. Zaif parollarni o‘zgartirishni majburiy qilish. Muddati o‘tgan hisoblarni avtomatik ravishda o‘chirib tashlash. |
| 2 | High | Anonymous SMB session enumeration. Anonim SMB sessiyasi orqali ma’lumotlar olishga muvaffaq bo‘lindi, bu esa keyingi bosqichda ruxsatsiz kirish imkonini berdi (Qo‘shimcha ma’lumot: Ilova E.9). | Tavsiyalar: TCP portlari 139 va 445 ni rol va talablar asosida cheklash. Local Security Policy orqali SAM hisoblarini enumeratsiya qilishni taqiqlash. |
| 3 | Medium | Reflected XSS. Kiruvchi foydalanuvchi ma’lumotlari filtrlanmagan holda ekranga chiqariladi. Potentsial hujumchilar foydalanuvchilarning login ma’lumotlarini o‘g‘irlashlari mumkin (Qo‘shimcha ma’lumot: Ilova E.8). | Tavsiyalar: Foydalanuvchi kiritgan barcha ma’lumotlarni filtrlash. Xavfli kodni shifrlash orqali ishlov berish. Login sahifasida foydalanuvchi nomini ko‘rsatmaslik. |
Har bir zaiflik uchun quyidagilar keltiriladi:
Agar zaiflik murakkab ekspluatatsiya talab qilsa, uni bosqichma-bosqich tasvirlash kerak: