哈哈,消失了半年以后再次发个贴,最近一直在关注后台,发现还是有新人在关注这个公众号,不管是大家主动关注还是为了获取网盘密码,都感觉挺对不起大家的,所以我尽可能的写些能帮助安服新人同志们的文章,一方面是反向强迫自己输入,另一方面也满足我这种爱秀的虚荣心。
今天分享几个报告编写的小技巧,在安全圈大家都是以技术论英雄,自然的忽视了工作中需要必备的汇报技能,希望以下几个技巧能够帮助你快速、优质的编写渗透测试报告。
1、准备几个优质的模板
我见过一些渗透工程师编写报告时习惯直接找上次的报告,替换其中的客户信息,漏洞信息。暂且不说其中内容是否会出现差错,这种工作方式在长期来看都是不良的习惯。很多比较牛逼的工程师会花费很大的力气总结几套优质模板,比如:公司要求输出的模板、不带公司信息的模板、客户提供的模板等,其中关键内容都是以批注或特殊字符标注,在编写报告时,直接将其进行替换,这样的好处是不容易误存其他客户的信息,工整的格式也会让客户感受到满满的诚意。
2、边渗透边截图
很多人渗透时候会专注于构造payload,梳理功能逻辑,等挖到洞回过头去梳理流程时很容易就将一些重要的测试过程错过了,更有甚者挖着挖着突然发现 “卧槽,IP被封了” ,只能一首凉凉送给自己。所以养成边渗透边截图的习惯对我们编写渗透报告至关重要。
微软自带的截图快捷键 win+PrtSc,可以帮助我们非常快速的截取当前屏幕,并且分辨率为当前屏幕分辨率,后期裁剪也很方便。同时按下Win和Print Screen键。这样就会截取当前屏幕显示的画面,大多数时候你会看到屏幕短暂变暗。
渗透结束后,打开电脑的“图片”文件夹,就可以在里面的“Screenshots”文件夹找到刚才的截图。
3、开发自己的报告生成器
懂开发的同志们一般会自己开发渗透报告生成器,通过预定义模板在web端填写信息后,直接生成渗透报告,既简单又方便,具体报告生成器的开发教程后续我找大牛取取经再分享跟大家。
希望能够给各位刚进入安全行业的小伙伴们一些帮助。
![757b542becce60efe1a034dfdbfa46f9.png](https://i-blog.csdnimg.cn/blog_migrate/832865bcaa22dc1244c9294412d27b12.png)