Vai al contenuto
BastionSec
Contattaci
Prova · report anonimizzato

Un report che regge. Guardalo prima di fidarti.

Questo è un report di penetration test reale, anonimizzato: nessun dato riconducibile a un cliente. Mostra come lavoriamo e cosa consegniamo, perché la prova migliore è il deliverable stesso.

Richiedi un pentest

Perché te lo mostriamo

Un compratore tecnico non si fida delle promesse: si fida di un report che regge davanti al suo auditor. Questo esempio è anonimizzato per rispetto della riservatezza, la stessa che applichiamo ai tuoi dati, ma il rigore e il formato sono identici a quelli reali.

Cosa c'è dentro

pentest-report-sample.pdf

anonimizzato
  • BastionSec: Penetration Test Report (SAMPLE / ANONYMIZED)
  • Scope: web application + API, grey-box
  • Methodology: OWASP · PTES · NIST 800-115
  • 1. Executive summary ............................... p.2
  • 2. Scope & methodology ............................. p.4
  • 3. Findings (by CVSS severity) ..................... p.6
  • - F-01 [HIGH] CVSS 7.x Broken access control
  • - F-02 [MEDIUM] CVSS 5.x Security misconfiguration
  • - F-03 [LOW] CVSS 3.x Information disclosure
  • 4. Proof of Concept (sanitized) .................... p.11
  • 5. Remediation (by priority) ....................... p.15
  • 6. Retest results .................................. p.18
Anteprima dimostrativa. Dati, nomi, host, IP e screenshot sono rimossi o fittizi. Nessun riferimento a clienti reali.

  • Executive summary

    Il rischio in una pagina, leggibile da un decisore non tecnico.

  • Perimetro e metodologia

    Cosa è stato testato e con quale approccio (black/grey/white-box) e metodologia (OWASP, PTES, NIST 800-115).

  • Finding con severità CVSS

    Ogni vulnerabilità con punteggio CVSS, evidenza e impatto. Severità sempre con etichetta e icona, mai solo colore.

  • Proof of Concept (PoC)

    La prova riproducibile del problema, in modo sicuro e responsabile.

  • Remediation

    Cosa fare, in ordine di priorità, non solo cosa è rotto.

  • Retest

    La verifica dopo i fix: il report non si chiude finché il rischio non è davvero ridotto.

Un finding, come lo scriviamo

Struttura di esempio (non dati reali).

Severità: AltaCVSS 7.x
Titolo
Controllo degli accessi non corretto (esempio)
Componente
Endpoint API (generico)
Descrizione
Un utente autenticato può accedere a risorse di un altro utente modificando un identificatore nella richiesta.
Evidenza / PoC
Richiesta dimostrativa sanificata, riproducibile in ambiente controllato.
Remediation
Verifica di autorizzazione lato server su ogni risorsa; controlli di proprietà dell'oggetto.
Stato retest
Da verificare dopo i fix

Questo è un test una tantum. La sicurezza è uno stato.

Con un retainer testiamo periodicamente e teniamo viva la prova nel tuo Trust Center.

Richiedi un pentest