成都知了汇智科技有限公司

主营:成都Java培训,成都网络培训,成都前端培训

免费店铺在线升级

联系方式
  • 公司: 成都知了汇智科技有限公司
  • 地址: 成都市武侯区天府软件园G区南区8栋7层
  • 联系: 知了堂
  • 手机: 17713623990
  • 一键开店

一份标准的渗透测试报告是什么样的附报告模板

2022-11-29 11:29:07  353次浏览 次浏览
价 格:面议

一个完整的渗透测试工作流程中,实际有近一半时间都用在如何编写报告上,渗透测试工程师的工作,不仅需要具备高超的渗透测试水平,同样也需要把一个深奥的技术点解释的通俗易懂,即使是完全不懂的人也可以理解。

那么,一份标准的渗透测试报告究竟是什么样的呢?本期,跟随知了姐一起学习渗透测试报告的相关知识吧~

01 渗透测试报告的重要性

渗透测试是一个科学的过程,像所有科学流程一样,应该是独立可重复的。当客户不满意测试结果时,他有权要求另外一名测试人员进行复现,此时如果你的报告没有详细说明结论的话,第二个测试人员将会不知从何入手,得出的结论也极有可能不一样,甚至遗漏相关漏洞。

举个例子:

模糊不清的描述:“我使用端口扫描器检测到了一个开放的TCP端口。“

清晰明了的描述:“我使用Nmap 5.50,对一段端口进行SYN扫描,发现了一个开放的TCP端口。

命令是:nmap –sS –p 7000-8000“

报告是实实在在的测试过程的输出,且是真实测试结果的证据,对客户而言他们可能对报告的内容没什么兴趣,但这份报告是他们一份证明测试费用的证据。

02 如何准备好渗透测试记录?

1.准备好渗透测试记录

测试记录是执行过程的日志,在每日测试工作结束后,应将当日的成果做成记录,虽然内容不必太过细致,但测试的重点必须记录在案:

·拟检测的项目

·使用的工具或方法

·检测过程描述

·检测结果说明

·过程的重点截图(有结果的画面)

2.撰写渗透测试报告书

报告书是整个测试测试操作结果的汇总,大概会以下列大纲撰写:

前言:说明执行测试的目的

声明:依照渗透测试同意书协商事项,列举于此,通常作为乙方的免责声明。

摘要:将本次渗透测试所发现的弱点及漏洞做一个汇总性的说明,如果系统又良好的防护机制,亦可书写于此,提供给甲方的其他网站系统作为管理参考。

执行方式:“大致”说明测试的方法论、测试的方法、执行时间以及测试的评定方式,评定方式是双方约定的条件为准,例如:发现中高风险项目、能提权成功、能完成插旗(即在目标网站中上传指定的文件或修改网页内容)、中断系统服务……

执行过程说明:依照双方议定的项目,说明测试“结果”,不论可以渗透成功或无法成功,都应说明执行的程序。

通常标注“详细执行步骤,如《渗透测试记录表》”,以便渗透测试记录表引入报告书中,并列出本次操作对风险高低的评定说明,例如:测试完成后,乙方人员针对所有测试目标评定其风险等级,以该测试目标所造成的冲击程度及发生的可能性作为因子,相乘得出风险等级,评定如下:

发现事项与建议改善说明:这是整份报告书中重要的部分,任何渗透测试都必须提供客户防护或弱点修正建议,其实只要能界定弱点的类型即可,因为防护建议内容通过搜索都可查到,所以本节能详细说明建议内容,以提高客户的满意度。

附件或参考文件(如无,可以省略):有些公司会将小组成员的资历列在此处,以供甲方参考。

03 撰写报告的注意事项有哪些?

一份好的报告可以为测试操作加分,一份不好的报告会毁了测试人员的努力,所以撰写渗透测试报告不可太随便,以下提供三个撰写要领,以供参考:

①重点漏洞要用直白的话写,让主管一目了然,翻开报告书就能够感受到渗透测试的价值

②撰写针对漏洞的修补建议时,言之有物,并附上修补范例

③图表重于文字,重点位置量附图佐证,数据对比或汇总,避免抓不到重点

④测试结果、弱点、漏洞务必要提出来,并给予修正建议

1-22112Q0460a42.png1-22112Q0462Q11.png知了堂拥有于其他机构的教学培养模式:产教融合、定星定级。通过前期针对学员做一对一教学定制方案,到中期教学过程中带领学员参与商业实战项目,再到后期就业指导,实现教育闭环,给予学员一站式、地学习体验,帮助学员提升技术实战能力与职业素养能力,成为符合企业招聘需求的人才。

网友评论
0条评论 0人参与
最新评论
  • 暂无评论,沙发等着你!
百业店铺 更多 >

特别提醒:本页面所展现的公司、产品及其它相关信息,均由用户自行发布。
购买相关产品时务必先行确认商家资质、产品质量以及比较产品价格,慎重作出个人的独立判断,谨防欺诈行为。

回到顶部