什么是渗透测试报告?
顾名思义,就是在渗透测试的最后一个环节里,审计人员要记录、报告并现场演示那些已经识别、验证和利用了的安全漏洞。被测单位的管理和技术团队会检查渗透时使用的方法,并会根据这些文档修补所有存在的安全漏洞。所以从道德角度来看,文档报告的工作十分重要。为了帮助惯例人员和技术人员共同理解、分析当前IT基础架构中的薄弱环节,可能需要给不同的部门撰写不同措辞的书面报告。此外,这些报告还可以用来获取和比较渗透测试前后目标系统的完整性。
说了那么多,一句话总结就是,渗透测试之后给客户看的报告
模版、标准?
每个人都有自己认为正确的观点。正如这个行业的许多人已经证明的那样,有很好的撰写报告的方法,也有一些很糟糕的方法。
渗透测试报告并没有硬性的统一规范,带有团队特色的、能够帮客户解决问题的报告就是好报告。
需要哪些内容?
首先,要时刻铭记“评估的目标是什么?你的计划是什么?报告中要体现什么?”一些具备渗透测试技能但经验不足的工程师很容易犯一个错误就是在报告中过于注重技能体现要记住渗透测试报告是并不是炫耀技术的地方。所以要在开始就确定目标,在编写报告的时候要牢记这一点。
第二,谁在看这个报告?他们希望从中看到什么?报告的对象是谁?在大多数情况下渗透测试报告的读者一般会与你的技术能力不在一个级别。你需要尽量让他们能看懂报告。并且需要报告中体现不同读者关心的不同部分。
例如,摘要部分应该做到: 简洁(不超过两页),重点阐述影响客户安全状态的漏洞及影响。在大多数情况下,高管们没有时间关心你在渗透测试中使用的高深的技术细节,所以前几页很重要,高官们可能只关注这几页的内容,因此务必需要量身定制。
“技术详述”是体现你针对目标系统开展的所有技术测试的细节,需要修复你发现的这些漏洞的人会很关心这部分内容。但是,他们并不关心你的扫描报告。直接堆砌300多页的扫描报告是没有意义的。建议如下:
1、不要直接在报告中堆砌扫描 工具 的输出结果,除非很有必要。比如Nmap的输出结果并不需要把每一行都放到报告里。建议如下操作,比如扫描发现网络中大量主机开启了SNMP服务,建议使用-oA参数和grep过滤下主机列表和SNMP端口。
2、务必截图,但要适量。截图过多会增加报告的页数和体积,所以要适量截图。截图要体现重点而不是仅仅为了展示meterpreter的漂亮的输出。例如,你获得了 Linux 主机的root的权限,并不需要你截15张图来展示root能访问哪些目录,只需要截一张uid命令的输出结果。截图恰当可以清晰展示你完成的工作。
在写报告时,另一个常见的错误观点是“长度等于质量”。事实是,你的报告应该长度适中不易过长。如果你希望有人认真阅读你的报告,那么内容太长会成为一种负担。但如果你的报告内容确实很长,可是阅读报告的人员并不关心报告中的所有细节,那么建议你将部分内容以附件的形式体现。感兴趣的读者可以自行阅读附件部分内容,不同读者各取所需。
内容大概就下面这些:
1.概述
- 目的
- 范围
- 流程
2.信息收集
- 工具
- 流程
3.渗透测试
- 方法
- 流程
- 漏洞
- 一些解释
4.安全建议
- 真正有用能解决问题的建议(客户真正需要的东西,能够帮他解决问题)
5.总结
- 对这次渗透测试进行全方面的总结(客户真正关注的东西,哪怕你前面做得再好,最后没有吹好也是没用的)
568
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
