Come aggiunta alle altre risposte:
Quando il contratto stabilisce il tuo ambito e quali vulnerabilità testare, potresti annotare che hai effettivamente testato casi nell'ambito delle vulnerabilità note definite nel contratto. Qualcosa come:
SQL injection:
SQL-Injections are ...
We identified 42 Input fields in the Webpages in Scope. We identified 0
Input fields vulnerable to SQL injection (with our used method).
Lo svantaggio è: nel caso ci sia effettivamente un'iniezione SQL in uno dei campi elencati in allegato al rapporto; non hai promesso il 100% di sicurezza ma hai promesso che questa non è una vulnerabilità, ma sicuramente hai fatto qualcosa di sbagliato - ecco perché dovresti in qualche modo stabilire quale tipo di test hai usato, quale tipo di SQL-Injection sono allo stato dell'arte nell'introduzione a SQL-Injections, quindi non verrai accusato di non trovare attacchi che verranno trovati in futuro.
Questo funziona anche per la sicurezza generale del sito web:
HTTPS: https is ... recommended to use TLS X.Y ...
We determined the usage of https for all websites in Scope with TLS X.Y.
Certificates expire Dates are set to Date X which is in the recommended
certificate expire time range. Certificates hold an 4096-Bit key which is
acceptable for current usage.
Prova anche a creare i modelli dei tuoi rapporti poiché non vuoi riscrivere tutto su SQL-Injection e HTTPS / TLS ecc. ancora e ancora, quindi devi solo riempire i risultati dei tuoi test. Ciò assicurerà anche che tu abbia effettuato tutti i test e che non ne sia venuto a mancare, quando vedi che alcuni paragrafi non sono stati scritti per essere eseguiti e non hanno trovato nulla o non hanno trovato alcun risultato.