一份標(biāo)準(zhǔn)的滲透測試報告是什么樣的附報告模板

一個完整的滲透測試工作流程中，實際有近一半時間都用在如何編寫報告上，滲透測試工程師的工作，不僅需要具備高超的滲透測試水平，同樣也需要把一個深奧的技術(shù)點解釋的通俗易懂，即使是完全不懂的人也可以理解。

那么，一份標(biāo)準(zhǔn)的滲透測試報告究竟是什么樣的呢?本期，跟隨知了姐一起學(xué)習(xí)滲透測試報告的相關(guān)知識吧~

01 滲透測試報告的重要性

滲透測試是一個科學(xué)的過程，像所有科學(xué)流程一樣，應(yīng)該是獨(dú)立可重復(fù)的。當(dāng)客戶不滿意測試結(jié)果時，他有權(quán)要求另外一名測試人員進(jìn)行復(fù)現(xiàn)，此時如果你的報告沒有詳細(xì)說明結(jié)論的話，第二個測試人員將會不知從何入手，得出的結(jié)論也極有可能不一樣，甚至遺漏相關(guān)漏洞。

舉個例子：

模糊不清的描述：“我使用端口掃描器檢測到了一個開放的TCP端口。“

清晰明了的描述：“我使用Nmap 5.50，對一段端口進(jìn)行SYN掃描，發(fā)現(xiàn)了一個開放的TCP端口。

命令是：nmap –sS –p 7000-8000“

報告是實實在在的測試過程的輸出，且是真實測試結(jié)果的證據(jù)，對客戶而言他們可能對報告的內(nèi)容沒什么興趣，但這份報告是他們一份證明測試費(fèi)用的證據(jù)。

02 如何準(zhǔn)備好滲透測試記錄?

1.準(zhǔn)備好滲透測試記錄

測試記錄是執(zhí)行過程的日志，在每日測試工作結(jié)束后，應(yīng)將當(dāng)日的成果做成記錄，雖然內(nèi)容不必太過細(xì)致，但測試的重點必須記錄在案：

·擬檢測的項目

·使用的工具或方法

·檢測過程描述

·檢測結(jié)果說明

·過程的重點截圖(有結(jié)果的畫面)

2.撰寫滲透測試報告書

報告書是整個測試測試操作結(jié)果的匯總，大概會以下列大綱撰寫：

前言：說明執(zhí)行測試的目的

聲明：依照滲透測試同意書協(xié)商事項，列舉于此，通常作為乙方的免責(zé)聲明。

摘要：將本次滲透測試所發(fā)現(xiàn)的弱點及漏洞做一個匯總性的說明，如果系統(tǒng)又良好的防護(hù)機(jī)制，亦可書寫于此，提供給甲方的其他網(wǎng)站系統(tǒng)作為管理參考。

執(zhí)行方式：“大致”說明測試的方法論、測試的方法、執(zhí)行時間以及測試的評定方式，評定方式是雙方約定的條件為準(zhǔn)，例如：發(fā)現(xiàn)中高風(fēng)險項目、能提權(quán)成功、能完成插旗(即在目標(biāo)網(wǎng)站中上傳指定的文件或修改網(wǎng)頁內(nèi)容)、中斷系統(tǒng)服務(wù)……

執(zhí)行過程說明：依照雙方議定的項目，說明測試“結(jié)果”，不論可以滲透成功或無法成功，都應(yīng)說明執(zhí)行的程序。

通常標(biāo)注“詳細(xì)執(zhí)行步驟，如《滲透測試記錄表》”，以便滲透測試記錄表引入報告書中，并列出本次操作對風(fēng)險高低的評定說明，例如：測試完成后，乙方人員針對所有測試目標(biāo)評定其風(fēng)險等級，以該測試目標(biāo)所造成的沖擊程度及發(fā)生的可能性作為因子，相乘得出風(fēng)險等級，評定如下：

發(fā)現(xiàn)事項與建議改善說明：這是整份報告書中重要的部分，任何滲透測試都必須提供客戶防護(hù)或弱點修正建議，其實只要能界定弱點的類型即可，因為防護(hù)建議內(nèi)容通過搜索都可查到，所以本節(jié)能詳細(xì)說明建議內(nèi)容，以提高客戶的滿意度。

附件或參考文件(如無，可以省略)：有些公司會將小組成員的資歷列在此處，以供甲方參考。

03 撰寫報告的注意事項有哪些?

一份好的報告可以為測試操作加分，一份不好的報告會毀了測試人員的努力，所以撰寫滲透測試報告不可太隨便，以下提供三個撰寫要領(lǐng)，以供參考：

①重點漏洞要用直白的話寫，讓主管一目了然，翻開報告書就能夠感受到滲透測試的價值

②撰寫針對漏洞的修補(bǔ)建議時，言之有物，并附上修補(bǔ)范例

③圖表重于文字，重點位置量附圖佐證，數(shù)據(jù)對比或匯總，避免抓不到重點

④測試結(jié)果、弱點、漏洞務(wù)必要提出來，并給予修正建議

知了堂擁有于其他機(jī)構(gòu)的教學(xué)培養(yǎng)模式：產(chǎn)教融合、定星定級。通過前期針對學(xué)員做一對一教學(xué)定制方案，到中期教學(xué)過程中帶領(lǐng)學(xué)員參與商業(yè)實戰(zhàn)項目，再到后期就業(yè)指導(dǎo)，實現(xiàn)教育閉環(huán)，給予學(xué)員一站式、地學(xué)習(xí)體驗，幫助學(xué)員提升技術(shù)實戰(zhàn)能力與職業(yè)素養(yǎng)能力，成為符合企業(yè)招聘需求的人才。