تست نفوذپذیری (Penetration Testing یا Pentest) فرآیندی است که در آن متخصصان امنیت سایبری، سیستمها و شبکههای شما را با استفاده از تکنیکهایی که هکرها ممکن است از آنها استفاده کنند، مورد ارزیابی قرار میدهند. هدف از این تست، شناسایی نقاط ضعف و آسیبپذیریها قبل از اینکه هکرها بتوانند از آنها سوءاستفاده کنند، است.
مراحل کلیدی در برنامهریزی تست نفوذپذیری
برنامهریزی دقیق و جامع، نخستین و مهمترین گام در اجرای موفقیتآمیز یک تست نفوذپذیری است. این برنامهریزی، چارچوبی مشخص برای انجام تست فراهم کرده و تضمین میکند که تمامی جوانب امنیتی سیستم مورد بررسی قرار گیرد.
مراحل کلیدی در برنامهریزی تست نفوذپذیری عبارت اند از:
تعیین اهداف و دامنه تست نفوذپذیری
اولین و مهمترین گام در اجرای یک تست نفوذپذیری موفق، مشخص کردن اهداف و دامنهی تست است. این مرحله، همانند نقشه راهی است که جهت و مسیر تست را مشخص میکند.

اهداف تست
اهداف تست، دلایل انجام تست را مشخص میکنند. این اهداف میتوانند بسیار متنوع باشند، از شناسایی آسیبپذیریهای خاص تا ارزیابی کلی وضعیت امنیتی سیستم. برخی از اهداف رایج تست نفوذپذیری عبارتند از:
- شناسایی آسیبپذیریها: یافتن نقاط ضعف سیستم که مهاجمان میتوانند از آنها سوء استفاده کنند.
- ارزیابی اثربخشی اقدامات امنیتی: بررسی اینکه آیا اقدامات امنیتی موجود، سیستم را به اندازه کافی ایمن کردهاند یا خیر.
- تست نفوذپذیری پس از تغییرات: ارزیابی تأثیر تغییرات اعمال شده در سیستم بر امنیت آن.
- شبیهسازی حملات واقعی: شبیهسازی حملات مختلف برای ارزیابی واکنش سیستم و تیم امنیتی.
- ارزیابی انطباق با استانداردها: بررسی اینکه آیا سیستم با استانداردهای امنیتی مشخصی مطابقت دارد یا خیر.
دامنه تست
دامنه تست، محدودهی سیستمهایی را که قرار است مورد تست قرار گیرند، مشخص میکند. این محدوده میتواند شامل موارد زیر باشد:
- سیستمهای عملیاتی: ویندوز، لینوکس، یونیکس
- نرمافزارهای کاربردی: وبسایتها، پایگاههای داده، سیستمهای مدیریت محتوا
- شبکهها: شبکههای محلی، شبکههای گسترده
- تجهیزات شبکه: روترها، سوئیچها، فایروالها
- دستگاههای تلفن همراه
- سرویسهای ابری
تعیین دامنه تست به عوامل زیر بستگی دارد:
- اهداف تست: هرچه اهداف تست مشخصتر باشند، دامنه تست نیز دقیقتر خواهد بود.
- منابع موجود: زمان، بودجه و نیروی انسانی موجود، محدودیتهایی را برای دامنه تست ایجاد میکنند.
- اهمیت سیستمها: سیستمهای حیاتیتر، اولویت بالاتری برای تست دارند.
- موافقت مشتری: دامنه تست باید با توافق مشتری نهایی شود.
چرا تعیین دقیق اهداف و دامنه مهم است؟
- بهبود کارایی تست: با مشخص کردن دقیق اهداف و دامنه، تستکنندگان میتوانند تمرکز خود را بر روی نقاط حساس سیستم قرار دهند و از اتلاف وقت جلوگیری کنند.
- افزایش دقت نتایج: با محدود کردن دامنه تست، نتایج تست دقیقتر و قابل اعتمادتر خواهند بود.
- کاهش هزینهها: با تعیین دقیق دامنه تست، میتوان از انجام تستهای اضافی و غیر ضروری جلوگیری کرد و هزینههای تست را کاهش داد.
- تسهیل گزارشدهی: با داشتن اهداف و دامنه مشخص، تهیه گزارش تست آسانتر خواهد بود.
جمعآوری اطلاعات (Reconnaissance and footprinting) در تست نفوذپذیری
جمعآوری اطلاعات، نخستین و یکی از حیاتیترین مراحل در یک تست نفوذپذیری است. این مرحله به تستکننده این امکان را میدهد تا قبل از اجرای حملات واقعی، درک جامعی از سیستم هدف به دست آورد. در این مرحله، تستکننده با استفاده از ابزارها و تکنیکهای مختلف، اطلاعاتی در مورد سیستم، شبکه، نرمافزارها، و پیکربندیهای امنیتی آن جمعآوری میکند.

چرا جمعآوری اطلاعات مهم است؟
- ایجاد یک نقشه کامل: جمعآوری اطلاعات، به تستکننده کمک میکند تا یک نقشه کامل از سیستم هدف ایجاد کند و نقاط ضعف احتمالی را شناسایی کند.
- انتخاب روشهای مناسب حمله: با داشتن اطلاعات کافی، تستکننده میتواند روشهای حمله مناسب را انتخاب کند و از اتلاف وقت جلوگیری کند.
- تخصیص منابع: با شناخت دقیق سیستم هدف، تستکننده میتواند منابع خود را به بهترین شکل تخصیص دهد.
- افزایش شانس موفقیت: جمعآوری اطلاعات دقیق، شانس موفقیت تست نفوذپذیری را به طور قابل توجهی افزایش میدهد.
انواع اطلاعات جمعآوری شده
اطلاعاتی که در مرحله جمعآوری اطلاعات به دست میآید، بسیار متنوع است و میتواند شامل موارد زیر باشد:
- اطلاعات عمومی: نام دامنه، آدرس IP، شماره تلفن، آدرس ایمیل، اطلاعات WHOIS، شبکههای اجتماعی
- اطلاعات فنی: سیستم عامل، نرمافزارهای نصب شده، نسخههای نرمافزار، تنظیمات امنیتی، ساختار شبکه
- اطلاعات مربوط به کارمندان: نام کارمندان، سمتهای شغلی، اطلاعات تماس
- اطلاعات مربوط به مشتریان: لیست مشتریان، محصولات و خدمات ارائه شده
روشهای جمعآوری اطلاعات
روشهای مختلفی برای جمعآوری اطلاعات وجود دارد که برخی از آنها عبارتند از:
- جستجوی در اینترنت: استفاده از موتورهای جستجو، شبکههای اجتماعی، وبسایتهای خبری و سایر منابع آنلاین
- ابزارهای اسکن: استفاده از ابزارهایی مانند Nmap برای اسکن پورتها و شناسایی سرویسها
- مهندسی اجتماعی: جمعآوری اطلاعات از طریق تعامل با افراد
- تحلیل کد منبع: بررسی کد منبع وبسایتها و برنامههای کاربردی
- جمعآوری اطلاعات از سطل زباله: جستجوی اطلاعات حساس در سطل زبالههای سازمان
مراحل جمعآوری اطلاعات
جمعآوری اطلاعات به طور معمول شامل مراحل زیر است:
- جمعآوری اطلاعات عمومی: در این مرحله، اطلاعات عمومی در مورد سازمان و سیستم هدف جمعآوری میشود.
- اسکن پورتها: در این مرحله، پورتهای باز سیستم هدف اسکن میشود تا سرویسهای در حال اجرا شناسایی شوند.
- شناسایی سیستمعامل و نرمافزارها: در این مرحله، سیستمعامل و نرمافزارهای نصب شده بر روی سیستم هدف شناسایی میشوند.
- تحلیل وبسایت: در این مرحله، وبسایت سازمان از نظر آسیبپذیریها و اطلاعات حساس تحلیل میشود.
- مهندسی اجتماعی: در این مرحله، با استفاده از تکنیکهای مهندسی اجتماعی، اطلاعات بیشتری از افراد داخل سازمان جمعآوری میشود.

تعیین سطح دسترسی در تست نفوذپذیری
تعیین سطح دسترسی یکی از مراحل بسیار مهم در برنامهریزی و اجرای تست نفوذپذیری است. این مرحله مشخص میکند که تستکننده با چه سطح دسترسیای به سیستم هدف وارد میشود و چه اقداماتی میتواند انجام دهد. سطح دسترسی، به طور مستقیم بر روی دامنه و عمق تست تأثیر میگذارد و نتایج بدست آمده از تست را شکل میدهد.
انواع سطح دسترسی در تست نفوذپذیری
- تست جعبه سیاه (Black Box): در این نوع تست، تستکننده هیچ اطلاعاتی در مورد سیستم هدف ندارد و مانند یک هکر خارجی عمل میکند. او تنها با استفاده از اطلاعات عمومی مانند آدرس IP و نام دامنه، سعی در نفوذ به سیستم میکند.
- تست جعبه سفید (White Box): در این نوع تست، تستکننده به اطلاعات کاملی در مورد سیستم هدف دسترسی دارد. او به نقشههای شبکه، کدهای منبع، پیکربندیها و سایر اطلاعات داخلی دسترسی دارد.
- تست جعبه خاکستری (Grey Box): این نوع تست ترکیبی از دو نوع قبلی است. در این تست، تستکننده به اطلاعات محدودی در مورد سیستم هدف دسترسی دارد. برای مثال، ممکن است او به عنوان یک کاربر داخلی با سطح دسترسی محدود به سیستم وارد شود.
اهمیت تعیین سطح دسترسی
- شبیهسازی سناریوهای واقعی: با تعیین سطح دسترسی مناسب، میتوان سناریوهای حملهای را شبیهسازی کرد که در دنیای واقعی ممکن است رخ دهد.
- تمرکز بر نقاط ضعف خاص: با توجه به سطح دسترسی، میتوان نقاط ضعف خاصی را که برای آن سطح دسترسی قابل بهرهبرداری هستند، مورد بررسی قرار داد.
- ارزیابی اقدامات امنیتی: با تغییر سطح دسترسی، میتوان اثربخشی اقدامات امنیتی را در سطوح مختلف ارزیابی کرد.
- کاهش زمان تست: با مشخص کردن سطح دسترسی، میتوان از انجام تستهای غیر ضروری جلوگیری کرد و زمان تست را کاهش داد.
عوامل مؤثر در تعیین سطح دسترسی
- اهداف تست: اهداف تست تعیین میکنند که چه سطح دسترسیای برای دستیابی به آنها مورد نیاز است.
- سیاستهای امنیتی سازمان: سیاستهای امنیتی سازمان، محدودیتهایی را برای سطح دسترسی تستکننده ایجاد میکند.
- سطح حساسیت اطلاعات: حساسیت اطلاعات موجود در سیستم، سطح دسترسی مورد نیاز را تعیین میکند.
- منابع موجود: زمان، بودجه و نیروی انسانی موجود، محدودیتهایی را برای سطح دسترسی ایجاد میکنند.
مثالهایی از سناریوهای مختلف سطح دسترسی
- تست جعبه سیاه: یک هکر خارجی سعی میکند با استفاده از ابزارهای اسکن و تکنیکهای مهندسی اجتماعی، به سیستم یک شرکت نفوذ کند.
- تست جعبه سفید: یک توسعهدهنده نرمافزار، کد منبع یک برنامه کاربردی را برای یافتن آسیبپذیریها بررسی میکند.
- تست جعبه خاکستری: یک کارمند داخلی با سطح دسترسی محدود، سعی میکند به اطلاعات حساستری در سیستم دسترسی پیدا کند.
انتخاب و توسعه ابزارها و اسکریپتها در تست نفوذپذیری
انتخاب و توسعه ابزارها و اسکریپتها، یکی از مراحل کلیدی در اجرای یک تست نفوذپذیری موفق است. این ابزارها و اسکریپتها، به تستکنندگان کمک میکنند تا به صورت خودکار و مؤثر، آسیبپذیریهای سیستم را شناسایی و بهرهبرداری کنند.

چرا به ابزارها و اسکریپتها نیاز داریم؟
- افزایش سرعت و دقت: ابزارها و اسکریپتها، فرآیند تست را خودکار کرده و سرعت و دقت آن را افزایش میدهند.
- پوشش گستردهتر: با استفاده از ابزارها، میتوان طیف وسیعی از آسیبپذیریها را در زمان کوتاهتری بررسی کرد.
- تکرارپذیری: اسکریپتها، امکان تکرار تستها را با همان شرایط فراهم میکنند.
- انجام تستهای پیچیده: برخی از تستها، نیازمند انجام محاسبات پیچیده یا اجرای حملات چند مرحلهای هستند که با استفاده از اسکریپتها به راحتی قابل انجام است.
انواع ابزارهای تست نفوذپذیری
ابزارهای تست نفوذپذیری، تنوع بسیار زیادی دارند و برای اهداف مختلفی طراحی شدهاند. برخی از مهمترین انواع این ابزارها عبارتند از:
- اسکنرهای آسیبپذیری: این ابزارها، سیستمها را به صورت خودکار اسکن کرده و آسیبپذیریهای شناخته شده را شناسایی میکنند. (مثال: Nessus، OpenVAS)
- ابزارهای بهرهبرداری: این ابزارها، برای بهرهبرداری از آسیبپذیریهای شناخته شده استفاده میشوند. (مثال: Metasploit)
- ابزارهای تحلیل بستههای شبکه: این ابزارها، ترافیک شبکه را تحلیل کرده و اطلاعات ارزشمندی در مورد حملات و آسیبپذیریها ارائه میدهند. (مثال: Wireshark)
- ابزارهای تست وب اپلیکیشن: این ابزارها، برای تست امنیت وب اپلیکیشنها استفاده میشوند. (مثال: Burp Suite, OWASP ZAP)
توسعه ابزارها و اسکریپتهای سفارشی
در بسیاری از موارد، ابزارهای موجود، پاسخگوی نیازهای خاص تستکنندگان نیستند. در چنین مواردی، توسعه ابزارها و اسکریپتهای سفارشی، راهکاری مناسب خواهد بود. برخی از دلایل توسعه ابزارهای سفارشی عبارتند از:
- تست آسیبپذیریهای خاص: برای تست آسیبپذیریهای خاص و پیچیده، ممکن است نیاز به توسعه ابزارهای سفارشی باشد.
- اتوماسیون فرآیندها: برای خودکارسازی فرآیندهای تکراری، میتوان اسکریپتهای سفارشی نوشت.
- ادغام با ابزارهای دیگر: میتوان ابزارهای سفارشی را با سایر ابزارهای تست نفوذپذیری ادغام کرد.
زبانهای برنامهنویسی مورد استفاده در توسعه ابزارها
- Python: پایتون، به دلیل سادگی و کتابخانههای غنی، یکی از محبوبترین زبانها برای توسعه ابزارهای تست نفوذپذیری است.
- Perl: پرل، نیز زبان دیگری است که در این حوزه بسیار پرکاربرد است.
- Ruby: روبی، به دلیل زبان ساده و چارچوب قدرتمند Metasploit، در توسعه ابزارهای تست نفوذپذیری محبوبیت زیادی دارد.
نکات مهم در انتخاب و توسعه ابزارها
- اهداف تست: ابزارهای انتخابی باید با اهداف تست مطابقت داشته باشند.
- سطح مهارت: ابزارهای انتخابی باید با سطح مهارت تستکننده سازگار باشند.
- هزینه: برخی از ابزارها تجاری هستند و نیاز به پرداخت هزینه دارند.
- پشتیبانی: ابزارهای انتخابی باید دارای پشتیبانی مناسب باشند.
- امنیت: هنگام استفاده از ابزارهای شخص ثالث، باید به امنیت آنها اطمینان حاصل کرد.
تهیه برنامه زمانی برای تست نفوذپذیری
تهیه یک برنامه زمانی دقیق و قابل اجرا برای تست نفوذپذیری، از اهمیت بالایی برخوردار است. این برنامه نه تنها به شما کمک میکند تا مراحل مختلف تست را به صورت منظم و کارآمد انجام دهید، بلکه به شما امکان میدهد تا پیشرفت خود را پیگیری کرده و در صورت نیاز، تغییرات لازم را اعمال کنید.

عوامل موثر در تهیه برنامه زمانی
- دامنه تست: هرچه دامنه تست بزرگتر باشد، زمان مورد نیاز برای انجام تست نیز بیشتر خواهد بود.
- منابع موجود: تعداد تستکنندگان، ابزارهای موجود و سایر منابع، بر مدت زمان انجام تست تاثیرگذار است.
- پیچیدگی سیستم: پیچیدگی سیستم هدف، به ویژه در مورد سیستمهای بزرگ و توزیع شده، بر مدت زمان تست تاثیر میگذارد.
- اهداف تست: هرچه اهداف تست دقیقتر و پیچیدهتر باشد، زمان بیشتری برای انجام تست نیاز است.
مراحل کلیدی در تهیه برنامه زمانی
- تعیین فعالیتها: تمام فعالیتهای مورد نیاز برای انجام تست را به صورت جزئی لیست کنید. این فعالیتها ممکن است شامل جمعآوری اطلاعات، اسکن آسیبپذیریها، بهرهبرداری از آسیبپذیریها، تهیه گزارش و غیره باشد.
- برآورد زمان: برای هر فعالیت، زمان تقریبی مورد نیاز را برآورد کنید. این برآورد میتواند بر اساس تجربه قبلی، پیچیدگی فعالیت و منابع موجود انجام شود.
- تعیین وابستگیها: مشخص کنید که کدام فعالیتها به فعالیتهای دیگر وابسته هستند. به عنوان مثال، اسکن آسیبپذیریها باید پس از جمعآوری اطلاعات انجام شود.
- ایجاد جدول زمانی: با استفاده از نرمافزارهای مدیریت پروژه مانند Microsoft Project یا ابزارهای آنلاین مانند Trello، یک جدول زمانی دقیق ایجاد کنید. این جدول زمانی باید شامل شروع و پایان هر فعالیت، مسئول هر فعالیت و منابع مورد نیاز باشد.
- تعریف نقاط بررسی: در طول اجرای تست، نقاط بررسی را تعیین کنید تا بتوانید پیشرفت خود را پیگیری کرده و در صورت نیاز، برنامه زمانی را اصلاح کنید.
- در نظر گرفتن زمانهای غیرمنتظره: برای رخدادهای غیرمنتظره مانند مشکلات فنی یا تغییرات در سیستم هدف، زمان اضافی در نظر بگیرید.
تهیه گزارش تست نفوذپذیری: گام نهایی و حیاتی
تهیه گزارش، آخرین مرحله اما یکی از مهمترین مراحل تست نفوذپذیری است. این گزارش، خلاصهای از تمام فعالیتها، یافتهها و توصیههای امنیتی است که در طول تست انجام شده است. یک گزارش خوب و جامع، به سازمان کمک میکند تا نقاط ضعف خود را شناسایی کرده و اقدامات لازم برای رفع آنها را انجام دهد.

اجزای اصلی یک گزارش تست نفوذپذیری
- خلاصه اجرایی: یک خلاصه کوتاه و مفید از کل گزارش که شامل مهمترین یافتهها و توصیهها است.
- مقدمه: معرفی سازمان، اهداف تست، دامنه تست، روششناسی و ابزارهای مورد استفاده.
- یافتهها:
- آسیبپذیریها: لیستی از تمام آسیبپذیریهای شناسایی شده، همراه با جزئیات فنی هر یک.
- خطرات: ارزیابی خطرات ناشی از هر آسیبپذیری، بر اساس شدت و احتمال بهرهبرداری.
- اثبات مفهوم: شواهدی که نشان میدهند آسیبپذیریها واقعی هستند و میتوان از آنها سوء استفاده کرد.
- توصیهها:
- توصیههای فنی: راهکارهای فنی برای رفع هر یک از آسیبپذیریها.
- توصیههای مدیریتی: توصیههایی برای بهبود فرآیندهای امنیتی سازمان.
- ضمیمه: اطلاعات تکمیلی مانند اسکرینشاتها، خروجیهای ابزارها و کدهای اثبات مفهوم.
نکات مهم در تهیه گزارش
- سادگی و وضوح: گزارش باید به زبان ساده و قابل فهم برای افراد غیر متخصص در حوزه امنیت نوشته شود.
- دقت: تمام اطلاعات ارائه شده در گزارش باید دقیق و قابل تأیید باشند.
- اولویتبندی: آسیبپذیریها باید بر اساس اهمیت و شدت آنها اولویتبندی شوند.
- ساختار منظم: گزارش باید دارای ساختار منظم و منطقی باشد تا خواننده به راحتی بتواند اطلاعات مورد نظر خود را پیدا کند.
- استفاده از تصاویر و نمودارها: استفاده از تصاویر و نمودارها میتواند به درک بهتر اطلاعات کمک کند.
قالببندی گزارش
گزارش تست نفوذپذیری را میتوان در قالبهای مختلفی مانند PDF، Word یا HTML تهیه کرد. مهمترین نکته، انتخاب قالبی است که خوانایی و دسترسی به اطلاعات را آسان کند.
توزیع گزارش
گزارش تست نفوذپذیری باید به افرادی که مسئولیت رفع آسیبپذیریها را بر عهده دارند، ارائه شود. این افراد ممکن است شامل مدیران فناوری اطلاعات، مدیران امنیت، توسعهدهندگان و سایر افراد مرتبط باشند.
پیگیری و اصلاح
پس از ارائه گزارش، باید پیگیری شود که آیا اقدامات لازم برای رفع آسیبپذیریها انجام شده است یا خیر. همچنین، باید برنامهای برای انجام تستهای نفوذپذیری دوره ای در نظر گرفته شود تا از حفظ سطح امنیتی سازمان اطمینان حاصل شود.
تعیین مسئولیتها در تست نفوذپذیری
تعیین دقیق مسئولیتها در یک تیم تست نفوذپذیری، برای اجرای موفق و کارآمد تست بسیار مهم است. هر فرد در تیم باید بداند که چه وظایفی را بر عهده دارد و چگونه باید به بهترین نحو آنها را انجام دهد.
نقشهای کلیدی در یک تیم تست نفوذپذیری
- مدیر تست: مسئولیت کلی پروژه، برنامهریزی، هماهنگی، نظارت بر پیشرفت کار و ارائه گزارش نهایی بر عهده این فرد است.
- تستکننده نفوذ: مسئول اجرای تستها، شناسایی آسیبپذیریها، بهرهبرداری از آنها و مستندسازی نتایج است.
- تحلیلگر آسیبپذیری: مسئول تحلیل نتایج تست، ارزیابی شدت آسیبپذیریها و ارائه توصیههای فنی برای رفع آنها است.
- نویسنده گزارش: مسئول تهیه گزارش نهایی تست و ارائه آن به مشتری است.
تقسیم مسئولیتها بر اساس مراحل تست
- مرحله برنامهریزی:
- مدیر تست: تعیین اهداف تست، دامنه تست، برنامه زمانی و منابع مورد نیاز.
- تیم تست: مشارکت در برنامهریزی و تعیین روشهای تست.
- مرحله جمعآوری اطلاعات:
- تستکننده نفوذ: جمعآوری اطلاعات عمومی در مورد سیستم هدف.
- مرحله اسکن:
- تستکننده نفوذ: اجرای اسکنهای آسیبپذیری.
- مرحله بهرهبرداری:
- تستکننده نفوذ: تلاش برای بهرهبرداری از آسیبپذیریهای شناسایی شده.
- مرحله تحلیل:
- تحلیلگر آسیبپذیری: تحلیل نتایج تست و ارزیابی شدت آسیبپذیریها.
- مرحله گزارشنویسی:
- نویسنده گزارش: تهیه گزارش نهایی و ارائه آن به مشتری.
عوامل موثر در تعیین مسئولیتها
- اندازه تیم: در تیمهای کوچک، ممکن است یک نفر چندین نقش را بر عهده داشته باشد.
- مهارتهای تیم: تقسیم مسئولیتها بر اساس مهارتهای هر فرد انجام میشود.
- پیچیدگی پروژه: در پروژههای پیچیده، ممکن است نیاز به تقسیم کار دقیقتری باشد.
- منابع موجود: منابع موجود مانند ابزارها، نرمافزارها و بودجه، بر نحوه تقسیم کار تاثیر میگذارد.
مزایای تعیین دقیق مسئولیتها
- افزایش کارایی: هر فرد میداند که دقیقا چه کاری باید انجام دهد و از اتلاف وقت جلوگیری میشود.
- بهبود کیفیت: با تقسیم کار بین افراد متخصص، کیفیت کار افزایش مییابد.
- افزایش مسئولیتپذیری: هر فرد مسئولیت نتایج کاری خود را بر عهده میگیرد.
- تسهیل همکاری: با تعریف واضح نقشها، همکاری بین اعضای تیم بهبود مییابد.
چارت سازمانی نمونه برای یک تیم تست نفوذپذیری
در اینجا میتوانید یک چارت سازمانی ساده برای یک تیم تست نفوذپذیری ارائه دهید. این چارت میتواند شامل مدیر تست، تستکنندههای نفوذ، تحلیلگر آسیبپذیری و نویسنده گزارش باشد.