常規的滲透測試流程一般為以下幾個過程:目標確認、信息收集、漏洞發現、漏洞利用、權限維持內網滲透、目標獲取痕跡清理、編寫文檔輸出報告。學了這麼久滲透測試,“騷”的技術點學了不少,那作為一個職業白帽你知道一份優質的滲透測試報告應該是什麼樣的嗎?
在開始之前先來了解什麼是滲透測試報告。滲透測試報告是對滲透測試進行全面展示的一種文檔表達,要知道在實際滲透的過程中,在與客户確認項目了之後,技術人員會使用PC對目標進行模擬攻擊,完成模擬攻擊之後我們需要將項目成果、進行過程對客户進行一個詳細的交付,就需要一份滲透測試報告來完成這個任務了。總的來説,滲透測試報告是表達項目成果的一種交付形式,主要目的是讓客户或者合作伙伴通過此報告來獲取信息。
和一般的漏洞提交報告一樣,滲透測試報告本身並沒有一個非常統一的標準,每個公司每個團隊每個人都有他們自己特有的風格,但表達的內容大體上都是差不多的。主要分為以下幾個部分:概述、漏洞摘要、滲透利用、測試結果、安全建議。
因為滲透測試報告最終的對象是客户,讓客户滿意是最大的目標。所以在撰寫的過程中,需要特別注意的是:漏洞描述切忌不可過於簡單,一筆帶過;在安全建議部分避免提出沒有實際意義的安全建議,比如加強安全意識;太多複雜的專業術語,比如繞狗、x站等等;報告結構混亂不堪。
開始編寫報告概述總體上包括時間、人員、測試範圍、技術手段等等。我們需要在這部分確定滲透測試執行的時間範圍、參與測試的人員及聯繫方式、約定的滲透測試範圍和一些滲透測試過程中採用的技術、工具描述。
文檔説明及適用範圍
這一部分主要展示項目挖掘出來的所有漏洞數據摘要。
根據資產進行分類,按照漏洞進行具體的描述:漏洞描述、危害、位置及修復建議。
總結一下本次評估整體性的安全狀態。
最後的最後,補充一些對於文檔的附錄資料。這樣,一份擁有基本架構的簡單版滲透測試報告就完成了。
歡迎登錄安全客 -有思想的安全新媒體www.anquanke.com/加入交流羣113129131獲取更多最新資訊
原文鏈接:https://www.anquanke.com/post/id/215031
【來源:安全客小安】
聲明:轉載此文是出於傳遞更多信息之目的。若有來源標註錯誤或侵犯了您的合法權益,請作者持權屬證明與本網聯繫,我們將及時更正、刪除,謝謝。 郵箱地址:[email protected]