高度なペンテストレポート
🔥 Vibe プロンプト
「プロフェッショナルなペンテストレポートを作成:エグゼクティブサマリー、リスク評価、発見事項、推奨事項。」
レポートテンプレート
# ペネトレーションテストレポート
## 1. エグゼクティブサマリー
- 発見脆弱性数: 12(重大3、高4、中3、低2)
- 達成された攻撃連鎖: 無認証RCE(SSRF経由)
- 平均CVSS: 7.8/10
## 2. 重大な発見: SSRF(CVSS 9.1)
```bash
curl "https://shop.example.com/api/fetch?url=http://169.254.169.254/latest/meta-data/iam/security-credentials/admin"
推奨: プライベートIP範囲をブロック
3. 高: 格納型XSS(CVSS 6.8)
POST /api/profile {"name": ""} 推奨: 入力サニタイズ、CSP実装
4. 攻撃連鎖
SSRF → IAM資格情報窃取 → S3バケット一覧 → 顧客データ漏洩
5. 優先度別推奨事項
P0(即時):
- SSRF修正
- IAMキーローテーション
- WAF実装 P1(今スプリント):
- 入力サニタイズ
- JWTシークレット変更 P2(次スプリント):
- CSPヘッダー
- セキュリティヘッダー
## レポート作成の原則
| 原則 | 理由 |
|------|------|
| エグゼクティブサマリー優先 | 非技術的読者向け |
| 再現手順を明確に | 開発者が検証可能 |
| ビジネス影響 | 優先順位付け |
| 修正推奨 | 行動可能 |
| 攻撃連鎖の実演 | 実際のリスク表示 |
## ベストプラクティス
- 攻撃連鎖を示す(孤立したバグではない)
- curlコマンドで明確な再現手順
- OWASP Top 10 / CWEにマッピング
- 各発見にCVSSスコア
- 技術的セクションと経営層セクションを分離
- 良い点も記載
## 高度なペンテストコース完了!🎉
- ✅ 偵察 & OSINT
- ✅ エクスプロイト開発
- ✅ Webエクスプロイト
- ✅ モバイル & API
- ✅ レポート作成
## 重要なポイント
- コアコンセプトをしっかり理解する
- ハンズオンコード例で実践する
- 実世界の問題に応用する
- 演習で知識を強化する
## さらに学ぶ
- 公式ドキュメント
- GitHubのオープンソースプロジェクト
- コミュニティフォーラムとディスカッション
- 関連コースとチュートリアル