一份標(biāo)準(zhǔn)的滲透測(cè)試報(bào)告是什么樣的（附報(bào)告模板）

時(shí)間：2022-11-29作者：成都匯智知了堂科技有限公司瀏覽：204

一個(gè)完整的滲透測(cè)試工作流程中，實(shí)際有近一半時(shí)間都用在如何編寫報(bào)告上，滲透測(cè)試工程師的工作，不僅需要具備高**的滲透測(cè)試水平，同樣也需要把一個(gè)深?yuàn)W的技術(shù)點(diǎn)解釋的通俗易懂，即使是完全不懂安全的人也可以理解。

那么，一份標(biāo)準(zhǔn)的滲透測(cè)試報(bào)告究竟是什么樣的呢?本期，跟隨知了姐一起學(xué)習(xí)滲透測(cè)試報(bào)告的相關(guān)知識(shí)吧~

01 滲透測(cè)試報(bào)告的重要性

滲透測(cè)試是一個(gè)科學(xué)的過程，像所有科學(xué)流程一樣，應(yīng)該是獨(dú)立可重復(fù)的。當(dāng)客戶不滿意測(cè)試結(jié)果時(shí)，他有權(quán)要求另外一名測(cè)試人員進(jìn)行復(fù)現(xiàn)，此時(shí)如果你的報(bào)告沒有詳細(xì)說明結(jié)論的話，*二個(gè)測(cè)試人員將會(huì)不知從何入手，得出的結(jié)論也較有可能不一樣，甚至遺漏相關(guān)漏洞。

舉個(gè)例子：

模糊不清的描述：“我使用端口掃描器檢測(cè)到了一個(gè)開放的TCP端口。“

清晰明了的描述：“我使用Nmap 5.50，對(duì)一段端口進(jìn)行SYN掃描，發(fā)現(xiàn)了一個(gè)開放的TCP端口。

命令是：nmap –sS –p 7000-8000“

報(bào)告是實(shí)實(shí)在在的測(cè)試過程的輸出，且是真實(shí)測(cè)試結(jié)果的證據(jù)，對(duì)客戶而言他們可能對(duì)報(bào)告的內(nèi)容沒什么興趣，但這份報(bào)告是他們一一份明測(cè)試費(fèi)用的據(jù)。

02 如何準(zhǔn)備好滲透測(cè)試記錄?

1.準(zhǔn)備好滲透測(cè)試記錄

測(cè)試記錄是執(zhí)行過程的日志，在每日測(cè)試工作結(jié)束后，應(yīng)將當(dāng)日的成果做成記錄，雖然內(nèi)容不必太過細(xì)致，但測(cè)試的重點(diǎn)必須記錄在案：

·擬檢測(cè)的項(xiàng)目

·使用的工具或方法

·檢測(cè)過程描述

·檢測(cè)結(jié)果說明

·過程的重點(diǎn)截圖(有結(jié)果的畫面)

2.撰寫滲透測(cè)試報(bào)告書

報(bào)告書是整個(gè)測(cè)試測(cè)試操作結(jié)果的匯總，大概會(huì)以下列大綱撰寫：

前言：說明執(zhí)行測(cè)試的目的

聲明：依照滲透測(cè)試同意書協(xié)商事項(xiàng)，列舉于此，通常作為乙方的免責(zé)聲明。

摘要：將本次滲透測(cè)試所發(fā)現(xiàn)的弱點(diǎn)及漏洞做一個(gè)匯總性的說明，如果系統(tǒng)又良好的防護(hù)機(jī)制，亦可書寫于此，提供給甲方的其他網(wǎng)站系統(tǒng)作為管理參考。

執(zhí)行方式：“大致”說明測(cè)試的方法論、測(cè)試的方法、執(zhí)行時(shí)間以及測(cè)試的評(píng)定方式，評(píng)定方式是雙方約定的條件為準(zhǔn)，例如：發(fā)現(xiàn)中高風(fēng)險(xiǎn)項(xiàng)目、能提權(quán)成功、能完成插旗(即在目標(biāo)網(wǎng)站中上傳*的文件或修改網(wǎng)頁內(nèi)容)、中斷系統(tǒng)服務(wù)……

執(zhí)行過程說明：依照雙方議定的項(xiàng)目，說明測(cè)試“結(jié)果”，不論可以滲透成功或無法成功，都應(yīng)說明執(zhí)行的程序。

通常標(biāo)注“詳細(xì)執(zhí)行步驟，如《滲透測(cè)試記錄表》”，以便滲透測(cè)試記錄表引入書中，并列出本次操作對(duì)風(fēng)險(xiǎn)高低的評(píng)定說明，例如：測(cè)試完成后，乙方人員針對(duì)所有測(cè)試目標(biāo)評(píng)定其風(fēng)險(xiǎn)等級(jí)，以該測(cè)試目標(biāo)所造成的沖擊程度及發(fā)生的可能性作為因子，相乘得出風(fēng)險(xiǎn)等級(jí)，評(píng)定如下：

發(fā)現(xiàn)事項(xiàng)與建議改善說明：這是整份報(bào)告書中較重要的部分，任何滲透測(cè)試都必須提供客戶防護(hù)或弱點(diǎn)修正建議，其實(shí)只要能界定弱點(diǎn)的類型即可，因?yàn)榉雷o(hù)建議內(nèi)容通過搜索都可查到，所以本節(jié)較好能詳細(xì)說明建議內(nèi)容，以提高客戶的滿意度。

附件或參考文件(如無，可以省略)：有些公司會(huì)將小組成員的資歷列在此處，以供甲方參考。

03 撰寫報(bào)告的注意事項(xiàng)有哪些?

一份好的報(bào)告可以為測(cè)試操作加分，一份不好的報(bào)告會(huì)毀了測(cè)試人員的努力，所以撰寫滲透測(cè)試報(bào)告不可太隨便，以下提供三個(gè)撰寫要領(lǐng)，以供參考：

①重點(diǎn)漏洞要用直白的話寫，讓主管一目了然，翻開報(bào)告書就能夠感受到滲透測(cè)試的**

②撰寫針對(duì)漏洞的修補(bǔ)建議時(shí)，較好言之有物，并附上修補(bǔ)范例

③圖表重于文字，重點(diǎn)位置量附圖佐證，數(shù)據(jù)對(duì)比或匯總，避免抓不點(diǎn)

④測(cè)試結(jié)果、弱點(diǎn)、漏洞務(wù)必要提出來，并給予修正建議

知了堂擁有良好于其他機(jī)構(gòu)的教學(xué)培養(yǎng)模式：產(chǎn)教融合、定星定級(jí)。通過前期針對(duì)學(xué)員做一對(duì)一教學(xué)定制方案，到中期教學(xué)過程中帶領(lǐng)學(xué)員參與商業(yè)實(shí)戰(zhàn)項(xiàng)目，再到后期就業(yè)指導(dǎo)，實(shí)現(xiàn)教育閉環(huán)，給予學(xué)員一站式、全面地學(xué)習(xí)體驗(yàn)，幫助學(xué)員提升技術(shù)實(shí)戰(zhàn)能力與職業(yè)素養(yǎng)能力，成為符合企業(yè)需求的人才。


成都匯智知了堂科技有限公司專注于網(wǎng)絡(luò)安全培訓(xùn),Java培訓(xùn),軟件測(cè)試培訓(xùn)等

• 詞條

  詞條說明

• 2024屆大學(xué)生已經(jīng)開始卷起來了,你還在摸魚嗎

  2022年就業(yè)形勢(shì)不容樂觀，1076萬應(yīng)屆畢業(yè)生人海如潮，扎堆投入招聘市場(chǎng)。如此嚴(yán)峻的就業(yè)形勢(shì)，導(dǎo)致剛畢業(yè)的學(xué)生被迫“延遲就業(yè)”，掉頭考公或考研，躲避就業(yè)壓力。很多學(xué)生從大一大二就開始卷實(shí)習(xí)，早早積累工作經(jīng)驗(yàn)，還在摸魚、佛系躺平的同學(xué)如果不給自己施加壓力，明年只怕著急忙慌無法應(yīng)對(duì)就業(yè)風(fēng)潮，只能看著早早拿到大廠實(shí)習(xí)offer的同學(xué)。當(dāng)前學(xué)生所面臨的就業(yè)難題不僅是招聘市場(chǎng)崗位縮減，更多還是自身技能的不

• 服務(wù)器怎么防ddos攻擊,ddos攻擊的應(yīng)對(duì)措施

  服務(wù)器怎么防ddos攻擊?ddos攻擊大部分的互聯(lián)網(wǎng)工作者都不陌生，因?yàn)樵诠ぷ髦薪?jīng)常會(huì)遇到，那么我們?cè)倜鎸?duì)ddos攻擊應(yīng)該做哪些應(yīng)對(duì)措施呢?接下來和知了姐姐一起來看看吧。一、確保服務(wù)器系統(tǒng)安全1、確保服務(wù)器的系統(tǒng)文件是較新的版本,并及時(shí)較新系統(tǒng)補(bǔ)丁。2、管理員需對(duì)所有主機(jī)進(jìn)行檢查，知道訪問者的來源。3、關(guān)閉不必要的服務(wù)：在服務(wù)器上去掉未使用的服務(wù)，關(guān)閉未使用的端口。4、限制同時(shí)打開的SYN半連接數(shù)

• 什么是安全服務(wù)工程師,發(fā)展“錢”景你**想不到

  安全圈里職業(yè)體系中的基礎(chǔ)——安全服務(wù)工程師，之所以說是基礎(chǔ)，是因?yàn)榘卜哂休^廣泛的跨分支能力。走技術(shù)路線：上到安全研究，下到威脅情報(bào)，中間還可以客串一下售前，再不然就搞搞bug hunter;走管理路線：從項(xiàng)目支撐到咨詢，從安全產(chǎn)品到營銷體系，只要是跟安全著邊的沒有跨不到的。安全服務(wù)到底是干啥的?第一類就是安全合規(guī)類服務(wù)，通常包括等保2.0、ISO27001等等;第二類就是安全評(píng)估類服務(wù)，通常包括

• web**培訓(xùn)大概需要多長時(shí)間

  web**培訓(xùn)主要分為實(shí)地面授和在線學(xué)習(xí)，不同的培訓(xùn)方式，需要的時(shí)間周期不一樣，而且費(fèi)用也有所差別。下面知了匯智小編為您簡(jiǎn)單分析一下web**培訓(xùn)所需的時(shí)間和費(fèi)用。web**培訓(xùn)主要分為實(shí)地面授和在線學(xué)習(xí)，不同的培訓(xùn)方式，需要的時(shí)間周期不一樣，而且費(fèi)用也有所差別。下面知了匯智小編為您簡(jiǎn)單分析一下web**培訓(xùn)所需的時(shí)間和費(fèi)用。Web前端的學(xué)習(xí)主要分為三個(gè)階段，時(shí)間在5個(gè)月左右，我們看看各個(gè)階段的