Elementrica
03Realizacje04Referencje05Firma06Aktualności07Kontakt
PLENDE

Zakres testu penetracyjnego

ElementricaElementrica6 min
Zakres testu penetracyjnego

Dokument przykładowy, zanonimizowany. Fragment Statement of Work i Rules of Engagement.

O tym dokumencie. To fragment realnego dokumentu, oczyszczony z danych klienta i danych wrażliwych. Wszystkie nazwy, domeny i adresy IP są fikcyjne (domeny w strefie .example, adresacja zanonimizowana). Pokazujemy go po to, żeby było widać, jak wyznaczamy granicę testu i co świadomie umieszczamy w sekcji „poza zakresem". Warstwa handlowa (dokładna pracochłonność, wycena, harmonogram dzienny) ustalana jest indywidualnie.

WersjaTyp dokumentuPoufnośćAutor
1.0Zakres i reguły gryMateriał demonstracyjnyElementrica

1. Kontekst zlecenia

Profil klienta i cel testu wpływają na to, gdzie postawimy granicę. Dlatego zaczynamy od kontekstu, a nie od listy narzędzi.

PoleWartość
Klient (profil)Średniej wielkości dostawca SaaS, sektor fintech, ok. 130 pracowników, model wielonajemcowy (multi-tenant).
Powód testuPrzygotowanie do audytu DORA oraz wymóg bezpieczeństwa ze strony klienta korporacyjnego.
Charakter danychDane osobowe i finansowe użytkowników platformy. Kluczowe pytanie: czy dane jednego najemcy są odseparowane od danych innych.

2. Cele testu

Cele zapisujemy w języku ryzyka klienta, nie w języku techniki. To one decydują, co jest ważne, a co poboczne.

  • Ustalić, czy z poziomu internetu da się uzyskać nieuprawniony dostęp do danych użytkowników platformy.
  • Zweryfikować izolację danych między najemcami (broken access control, IDOR, błędy autoryzacji poziomej i pionowej).
  • Sprawdzić odporność procesu logowania, resetu hasła i zarządzania sesją.
  • Dostarczyć dowody i priorytety pod plan naprawczy oraz materiał do rozmowy z audytorem DORA.

3. Zakres testu (in scope)

Każdy zasób jest wskazany z nazwy. Nie ma pozycji typu „cała reszta" ani „pozostała infrastruktura". Jeśli czegoś nie ma na tej liście, nie jest testowane.

AssetRodzajPerspektywa i uwagi
app.klient.exampleAplikacja webowa (produkcja)Grey box. Dwa konta testowe: rola standardowa i rola z podwyższonymi uprawnieniami.
api.klient.exampleREST APIGrey box, uwierzytelnione. Testy autoryzacji na poziomie obiektów i funkcji.
iOS + Android (buildy testowe)Aplikacja mobilnaAnaliza wg OWASP MASTG. Storage lokalny, komunikacja z API, ochrona sekretów.
partners.klient.examplePortal partnerskiGrey box. Osobna subdomena, świadomie włączona do zakresu na wniosek zespołu bezpieczeństwa.
xxx.xxx.xxx.0/28Infrastruktura zewnętrzna16 adresów. Zewnętrzny test sieciowy: ekspozycja usług, konfiguracja, znane podatności.

4. Typ testu i perspektywa

PoleWartość
Model wiedzyGrey box. Konto testowe skraca fazę rekonesansu i pozwala w tym samym czasie wejść głębiej w logikę biznesową aplikacji.
Punkty startuZ internetu bez konta (perspektywa anonima) oraz z kontem użytkownika w dwóch rolach.
ŚrodowiskoProdukcja dla web, API i infrastruktury (za pisemną zgodą, z ograniczeniami z sekcji 6). Buildy testowe dla aplikacji mobilnej.

5. Metodyka i standardy

Metodyka jest po to, żeby wynik był powtarzalny i sprawdzalny, a nie zależny od tego, na co danego dnia miał ochotę konkretny tester.

  • PTES jako proces prowadzenia testu.
  • OWASP WSTG 4.x dla aplikacji webowej i portalu partnerskiego.
  • OWASP API Security Top 10 dla API.
  • OWASP MASTG dla aplikacji mobilnej.
  • NIST SP 800-115 dla infrastruktury zewnętrznej.
  • Klasyfikacja i priorytety ryzyka wg CVSS 4.0.

6. Reguły gry (Rules of Engagement)

ObszarUstalenie
Okna czasoweDni robocze 08:00 do 18:00 CET. Testy o podwyższonym ryzyku dla stabilności wyłącznie po wcześniejszym uzgodnieniu i poza godzinami szczytu ruchu.
ProdukcjaDozwolona, bez działań grożących niedostępnością usługi. Zakaz testów DoS i DDoS.
SocjotechnikaPoza zakresem tego zlecenia. Dostępna jako osobny projekt, jeśli klient się zdecyduje.
Dane wrażliweW razie uzyskania dostępu do realnych danych osobowych tester zatrzymuje eksplorację, dokumentuje minimalny dowód i zgłasza. Bez pobierania i przechowywania danych klientów.
Znaleziska krytyczneZgłaszane niezwłocznie kanałem awaryjnym, jeszcze przed raportem końcowym.
Kontakt awaryjnyWyznaczona osoba po stronie klienta oraz dyżurny po stronie Elementrica. Dwa numery, dostępne w oknach testowych.
WhitelistingAdresy źródłowe testera przekazywane zespołowi klienta, żeby odróżnić test od realnego ataku i nie wywołać niepotrzebnej reakcji SOC.

7. Poza zakresem (out of scope)

To najważniejsza część tego dokumentu. Nie jest listą rzeczy, których nie umiemy zrobić. To lista świadomych decyzji, każda z powodem.

ElementPowód wykluczenia
Ataki DoS i DDoS, testy wydajnościoweRyzyko niedostępności produkcji. Cel testu to nieuprawniony dostęp, nie obciążenie.
Socjotechnika i phishing na pracownikówŚwiadomie wyłączone z tego zlecenia. Dostępne jako osobny projekt.
Fizyczny dostęp do biur i sprzętuPoza modelem zagrożeń uzgodnionym z klientem dla tego zlecenia.
Usługi dostawców zewnętrznych (płatności, poczta, hosting)Brak zgody właściciela infrastruktury. Testowanie cudzych systemów bez upoważnienia jest niedozwolone.
Przegląd kodu źródłowego (white box, SAST)Inny typ usługi. To zlecenie prowadzone jest w modelu grey box.
Domeny i subdomeny spoza listy z sekcji 3Poza uzgodnioną listą assetów. Zobacz notę poniżej.

Co robimy, gdy znajdziemy coś poza granicą. Jeśli w trakcie rekonesansu natrafimy na istotny asset spoza zakresu (na przykład zapomnianą subdomenę z panelem administracyjnym), nie testujemy go bez rozszerzenia zlecenia. Zgłaszamy go osobno jako obserwację, z opisem ryzyka. Granica chroni obie strony, ale nie udajemy, że problem nie istnieje, tylko dlatego, że leży kilka metrów za linią.

8. Pracochłonność i produkty końcowe

Liczba osobodni to realny sufit głębokości testu. Podajemy ją wprost, bo zakres bez przypisanego czasu to intencja, nie plan. Poniższe wartości są przykładowe.

ObszarOsobodni
Aplikacja webowa6
REST API3
Aplikacja mobilna (iOS + Android)4
Portal partnerski2
Infrastruktura zewnętrzna2
Raportowanie i omówienie wyników2
Retest po wdrożeniu poprawek1
Razem (przykładowo)20

Co klient dostaje na końcu:

  • Raport techniczny z dowodami: kroki reprodukcji, dowód działania, priorytety wg CVSS 4.0 i konkretna ścieżka naprawy dla każdej podatności.
  • Podsumowanie dla kadry zarządzającej w języku ryzyka biznesowego, gotowe do rozmowy z zarządem i audytorem.
  • Sesja omówienia wyników z zespołem klienta.
  • Retest poprawek i pisemne potwierdzenie usunięcia podatności.

9. Założenia i warunki

  • Klient zapewnia konta testowe, dostęp do środowisk i buildy mobilne przed startem prac.
  • Klient oświadcza, że posiada prawo do zlecenia testu wskazanych assetów.
  • Każda zmiana zakresu w trakcie wymaga pisemnego uzgodnienia (change request).
  • Całość objęta NDA. Po zakończeniu dane testowe są usuwane zgodnie z uzgodnioną polityką retencji.
Chcesz taki zakres pod swoją infrastrukturę?

Umów bezpłatną, 30-minutową konsultację bez zobowiązań. Po rozmowie z konsultantem będziesz mieć pierwszy szkic sensownego zakresu.

Następny
Zakres testu penetracyjnego: jedna strona, która decyduje, czy test był wart pieniędzy