常規的滲透測試流程一般為以下幾個過程:目標確認、信息收集、漏洞發現、漏洞利用、權限維持內網滲透、目標獲取痕跡清理、編寫文檔輸出報告。學了這么久滲透測試,“騷”的技術點學了不少,那作為一個職業白帽你知道一份優質的滲透測試報告應該是什么樣的嗎?
在開始之前先來了解什么是滲透測試報告。滲透測試報告是對滲透測試進行全面展示的一種文檔表達,要知道在實際滲透的過程中,在與客戶確認項目了之后,技術人員會使用PC對目標進行模擬攻擊,完成模擬攻擊之后我們需要將項目成果、進行過程對客戶進行一個詳細的交付,就需要一份滲透測試報告來完成這個任務了。總的來說,滲透測試報告是表達項目成果的一種交付形式,主要目的是讓客戶或者合作伙伴通過此報告來獲取信息。
和一般的漏洞提交報告一樣,滲透測試報告本身并沒有一個非常統一的標準,每個公司每個團隊每個人都有他們自己特有的風格,但表達的內容大體上都是差不多的。主要分為以下幾個部分:概述、漏洞摘要、滲透利用、測試結果、安全建議。
因為滲透測試報告最終的對象是客戶,讓客戶滿意是最大的目標。所以在撰寫的過程中,需要特別注意的是:漏洞描述切忌不可過于簡單,一筆帶過;在安全建議部分避免提出沒有實際意義的安全建議,比如加強安全意識;太多復雜的專業術語,比如繞狗、x站等等;報告結構混亂不堪。
開始編寫報告
概述總體上包括時間、人員、測試范圍、技術手段等等。我們需要在這部分確定滲透測試執行的時間范圍、參與測試的人員及聯系方式、約定的滲透測試范圍和一些滲透測試過程中采用的技術、工具描述。
文檔說明及適用范圍
概述
漏洞摘要
這一部分主要展示項目挖掘出來的所有漏洞數據摘要。
滲透利用
根據資產進行分類,按照漏洞進行具體的描述:漏洞描述、危害、位置及修復建議。
評估總結
總結一下本次評估整體性的安全狀態。
最后的最后,補充一些對于文檔的附錄資料。這樣,一份擁有基本架構的簡單版滲透測試報告就完成了。
歡迎登錄安全客 -有思想的安全新媒體www.anquanke.com/加入交流群113129131獲取更多最新資訊
原文鏈接:https://www.anquanke.com/post/id/215031
