Самые дикие пентест-отчёты, что вы держали в руках. Делимся болью

[ruslan_ml61]

Принимал отчёт от субподрядчика для клиента. В executive summary посреди текста — название ДРУГОГО клиента. Copy-paste спалился. Хорошо я заметил раньше заказчика, иначе был бы конец контракту.

[savva_io]

Видел шедевр: находка дословно 'Уязвимости на данном сегменте не обнаружены, но могут существовать до тех пор, пока не будут найдены'. Шрёдингеровская уязвимость, одновременно есть и нет. Распечатал, повесил на стену.

[sasha_data]

У меня было 'Энумерация сети не проводилась ввиду отсутствия оставшихся часов, однако все целевые хосты были протестированы'. Как, простите, вы тестировали хосты, которые не нашли? Магия.

[vika_flux78]

Со стороны принимающей расскажу. Прилетел отчёт где на 40 страниц ВСЁ помечено High. Включая 'на сервере работает FTP на порту 21'. Рекомендация — 'запустите FTP на другом порту, например 2121'. Безопасность через нестандартный порт, ага.

[grigory_go73]

blueteam_olga это ещё цветочки. У нас в одном отчёте последние три страницы были прайс-листом на устранение. Прямо построчно: 'пропатчить IIS CVE-XXXX — 500$ за сервер', 'настроить php.ini — 390$'. Меню-о-ремедиэйшн, мечта апсейла.

[devvector7595]

Шрифты. Боже, шрифты. Получал отчёт где каждый абзац другим кеглем и гарнитурой, явно склеено из пяти разных доков. И местами от первого лица 'я проверил', местами от третьего 'было проверено'. В одном предложении переключались.

[stacksql1977]

А меня больше пугает обратная крайность — отчёт с нулём находок, где просто написано 'всё ок'. Это либо они реально хорошо защищены, либо пентестер тупо ничего не делал. И отличить одно от другого по такому отчёту невозможно.

[vitaly8985]

anton_py вот поэтому zero-findings отчёт писать СЛОЖНЕЕ всего. Надо детально расписать что именно ты пробовал и почему не сработало, иначе клиент справедливо думает что ты деньги взял за ничего. Это отдельное искусство.

[maria_vector27]

Из недавнего: скриншоты в отчёте с НЕзамазанными реальными паролями админов и токенами. Отчёт по безопасности, в котором утекают креды. Поэзия. Пришлось весь PDF отзывать и переделывать.

[pavel7560]

db_admin ой, а ещё когда отчёт присылают незашифрованным вложением на личную почту через гугл. Документ, где по пунктам расписано как нас поломать. Самый ценный фишинг-приз сезона.