📋

Methodik & Reporting

Projektmanagement und Dokumentation. Von kollaborativen Reporting-Tools bis zu strukturierten Assessments.

Typische Prüfbereiche

Phasenmodell

Pre-Engagement, Discovery, Testing, Reporting, Remediation-Support

Evidence Management

Screenshots, Logs, Request/Response-Paare, Tool-Outputs

Finding Documentation

Strukturierte Beschreibungen, Risk-Rating, Impact-Analyse, Empfehlungen

Collaboration

Team-Workflows, Review-Prozesse, Quality-Assurance

Reporting

Executive-Summary, Technical-Details, Remediation-Roadmap, Re-Test-Results

Knowledge Management

Lessons-Learned, Playbooks, Checklisten, Tool-Documentation

Phasenmodell für Assessments

  1. 1.
    Pre-Engagement: Scope-Definition, Regeln, Zeitfenster, Notfallkontakte, Rechtliche Absicherung
  2. 2.
    Discovery: Passive & aktive Reconnaissance, Asset-Inventarisierung, Attack-Surface-Mapping
  3. 3.
    Baseline Scans: Automatisierte Vulnerability-Scans, Low-Impact-Checks, False-Positive-Reduktion
  4. 4.
    Manuelle Verifikation: Deep-Dive in kritische Funktionen, Business-Logic-Tests, Custom-Exploits
  5. 5.
    Kontrollierte Validierung: Minimalistischer PoC, Evidenz-Sammlung, Kein Schaden anrichten
  6. 6.
    Reporting: Finding-Dokumentation, Risk-Rating, Remediation-Empfehlungen, Executive-Summary
  7. 7.
    Remediation Support: Fix-Beratung, Code-Reviews, Re-Tests, Verification

Finding-Template (Beispiel)

Titel

Kurze, prägnante Beschreibung (z. B. "SQL Injection in Login-Form")

Severity

Critical / High / Medium / Low / Info (inkl. CVSS wenn anwendbar)

Beschreibung

Was ist das Problem? Welche Komponente ist betroffen? Technischer Hintergrund.

Impact

Was kann ein Angreifer erreichen? Business-Impact, Datenrisiko, Compliance.

Nachweis (High-Level)

Konzeptioneller PoC, Screenshots, Request-Beispiel (keine vollständigen Exploits)

Empfehlung

Konkrete Remediation-Steps, Code-Beispiele, Best-Practices, Referenzen

Verifikation

Wie kann das Development-Team den Fix überprüfen? Test-Cases.

Referenzen

OWASP, CVE, CWE, Vendor-Advisories, Best-Practice-Guides

Tools (2)

Alle Tools sind für autorisierte Sicherheitsprüfungen konzipiert und erfordern eine schriftliche Freigabe.

Dradis / Faraday

Einsteiger

Kollaborative Reporting- und Wissensmanagement-Plattformen

Hauptfunktionen:

  • •Zentrale Finding-Verwaltung
  • •Team-Kollaboration
  • •Report-Generierung

Typische Verwendung:

  • →Während gesamtem Assessment als zentrale Datenbank
  • →Import von Tool-Outputs (Nmap, Burp, etc.)

Artefakte:

Strukturierter Pentest-ReportFinding-DatabaseEvidence-Repository

Hinweise:

Daten vertraulich behandeln

#reporting#collaboration#workflow

CherryTree / Obsidian

Einsteiger

Hierarchische Notiz-Tools für strukturierte Dokumentation

Hauptfunktionen:

  • •Hierarchische Notizen
  • •Code-Syntax-Highlighting
  • •Screenshots einbetten

Typische Verwendung:

  • →Live-Note-Taking während Tests
  • →Strukturierung von Findings

Artefakte:

Strukturierte NotizenTimeline von AktivitätenScreenshot-Sammlung

Hinweise:

Vertrauliche Infos verschlüsseln

#notes#documentation#workflow

Typische Deliverables

  • 📄Vollständiger Pentest-Report (Executive + Technical)
  • 📄Finding-Database mit Evidenz
  • 📄Priorisierte Remediation-Roadmap
  • 📄Re-Test-Report (optional)
  • 📄Lessons-Learned & Recommendations

Empfohlener Einstieg

  1. 1.Richten Sie Dradis/Faraday als zentrale Plattform ein
  2. 2.Importieren Sie Tool-Outputs (Nmap, Burp, etc.) automatisch
  3. 3.Nutzen Sie CherryTree/Obsidian für Live-Note-Taking
  4. 4.Definieren Sie ein Finding-Template mit allen erforderlichen Feldern
  5. 5.Generieren Sie Reports automatisch aus der Datenbank