网安整改报告中技术措施的写法

    最近接到客户反映，说是他们单位收到一封来自公安局网安大队的通知书，通知称：贵单位网站存在网络安全漏洞，网站被植入后门程序，要求你单位要在XX日之前，对网站进行安全整改，并要求提供完整的整改方案。对于未按期整改的，将被予以进行行政处罚。

    客户收到后，自然是交由开发单位和服务器提供单位IDC来解决。这种事情一般撸一遍代码就基本搞定了，但客户关心的是如何写整改报告书。网站被攻击的原因很多，但其实多数是开发时间久远，被黑客“很耐心”地发现了漏洞并上传了木马。

    这里也提醒一下开发人员或单位，最好是要对客户收年度服务费，以便能及时更新升级客户的网站程序。即便是不更新或升级，如果每年都有钱收，也有动力去检查木马。有些客户5年甚至更久之前找你编的网站程序，也是在你这里开的网站虚机，一年就也给你300多块钱，这时候被网安通知了，你说你给不给检测？给不给写整改报告？

stop talk，start work！

    整改报告的头和尾，一般都能在网上找到。下面就一些具体内容，供参考。实际应用时，你可以改变一下顺序，文笔没必要太好，让人能读懂就行。

“

事发前网站系统，一切正常运行并没有发现任何篡改的痕迹，网站首页没有被恶意跳转以及百度快照劫持篡改等相关的问题。后续我们对网站的所有文件，代码，图片，数据库里的内容，进行了详细的安全检测与对比，从SQL注入测试、XSS跨站安全测试、表单绕过、文件上传漏洞测试、文件包含漏洞检测、网页挂马、网页后门木马检测、包括一句话小马、aspx大马、脚本木马后门、敏感信息泄露测试、任意文件读取、目录遍