渗透测试 - 报告撰写

经验丰富的渗透测试人员不一定能撰写出色的报告,因为撰写渗透测试报告是一门需要单独学习的艺术。

什么是报告撰写?

在渗透测试中,报告撰写是一项综合任务,包括方法论、程序、报告内容和设计的正确解释、测试报告的详细示例以及测试人员的个人经验。报告准备好后,将在目标组织的高级管理人员和技术团队之间共享。如果将来有此类需要,本报告将作为参考。

报告撰写阶段

由于涉及全面的撰写工作,渗透报告撰写分为以下几个阶段 −

  • 报告规划
  • 信息收集
  • 撰写初稿
  • 审核和定稿
报告撰写

报告规划

报告规划从目标开始,帮助读者了解渗透测试的要点。这部分描述了为什么进行测试,渗透测试的好处是什么等。其次,报告规划还包括测试所花费的时间。

报告撰写的主要内容是 −

  • 目标 − 它描述了渗透测试的总体目的和好处。

  • 时间 − 时间的纳入非常重要,因为它提供了系统的准确状态。假设,如果以后发生任何错误,这份报告将拯救测试人员,因为报告将说明特定时间段内渗透测试范围内的风险和漏洞。

  • 目标受众 − 渗透测试报告还需要包括目标受众,例如信息安全经理、信息技术经理、首席信息安全官和技术团队。

  • 报告分类 − 由于报告包含服务器 IP 地址、应用程序信息、漏洞、威胁等,因此属于高度机密,需要对其进行适当分类。但是,此分类需要基于具有信息分类政策的目标组织进行。

  • 报告分发 − 工作范围中应提及副本数量和报告分发。还需要提及的是,可以通过打印有限数量的副本并附上其编号和接收者的姓名来控制硬拷贝。

信息收集

由于流程复杂且冗长,渗透测试人员需要提及每个步骤,以确保他在测试的所有阶段都收集了所有信息。除了方法之外,他还需要提及系统和工具、扫描结果、漏洞评估、发现的细节等。

撰写初稿

一旦测试人员准备好所有工具和信息,现在他需要开始撰写初稿。首先,他需要详细地撰写初稿——提及所有内容,即所有活动、流程和经验。

审查和定稿

报告起草后,必须首先由起草人本人审查,然后由可能协助他的上级或同事审查。在审查过程中,审查人员应检查报告的每个细节,并找出需要纠正的任何缺陷。

渗透测试报告的内容

以下是渗透测试报告的典型内容 −

执行摘要

  • 工作范围
  • 项目目标
  • 假设
  • 时间表
  • 调查结果摘要
  • 建议摘要

方法

  • 规划
  • 利用
  • 报告

详细发现

  • 详细系统信息
  • Windows 服务器信息

参考资料

  • 附录