一個完整的滲透測試工作流程中,實際有近一半時間都用在如何編寫報告上,滲透測試工程師的工作,不僅需要具備高超的滲透測試水平,同樣也需要把一個深奧的技術點解釋的通俗易懂,即使是完全不懂的人也可以理解。
那么,一份標準的滲透測試報告究竟是什么樣的呢?本期,跟隨知了姐一起學習滲透測試報告的相關知識吧~
01 滲透測試報告的重要性
滲透測試是一個科學的過程,像所有科學流程一樣,應該是獨立可重復的。當客戶不滿意測試結果時,他有權要求另外一名測試人員進行復現,此時如果你的報告沒有詳細說明結論的話,第二個測試人員將會不知從何入手,得出的結論也極有可能不一樣,甚至遺漏相關漏洞。
舉個例子:
模糊不清的描述:“我使用端口掃描器檢測到了一個開放的TCP端口。“
清晰明了的描述:“我使用Nmap 5.50,對一段端口進行SYN掃描,發現了一個開放的TCP端口。
命令是:nmap –sS –p 7000-8000“
報告是實實在在的測試過程的輸出,且是真實測試結果的證據,對客戶而言他們可能對報告的內容沒什么興趣,但這份報告是他們一份證明測試費用的證據。
02 如何準備好滲透測試記錄?
1.準備好滲透測試記錄
測試記錄是執行過程的日志,在每日測試工作結束后,應將當日的成果做成記錄,雖然內容不必太過細致,但測試的重點必須記錄在案:
·擬檢測的項目
·使用的工具或方法
·檢測過程描述
·檢測結果說明
·過程的重點截圖(有結果的畫面)
2.撰寫滲透測試報告書
報告書是整個測試測試操作結果的匯總,大概會以下列大綱撰寫:
前言:說明執行測試的目的
聲明:依照滲透測試同意書協商事項,列舉于此,通常作為乙方的免責聲明。
摘要:將本次滲透測試所發現的弱點及漏洞做一個匯總性的說明,如果系統又良好的防護機制,亦可書寫于此,提供給甲方的其他網站系統作為管理參考。
執行方式:“大致”說明測試的方法論、測試的方法、執行時間以及測試的評定方式,評定方式是雙方約定的條件為準,例如:發現中高風險項目、能提權成功、能完成插旗(即在目標網站中上傳指定的文件或修改網頁內容)、中斷系統服務……
執行過程說明:依照雙方議定的項目,說明測試“結果”,不論可以滲透成功或無法成功,都應說明執行的程序。
通常標注“詳細執行步驟,如《滲透測試記錄表》”,以便滲透測試記錄表引入報告書中,并列出本次操作對風險高低的評定說明,例如:測試完成后,乙方人員針對所有測試目標評定其風險等級,以該測試目標所造成的沖擊程度及發生的可能性作為因子,相乘得出風險等級,評定如下:
發現事項與建議改善說明:這是整份報告書中重要的部分,任何滲透測試都必須提供客戶防護或弱點修正建議,其實只要能界定弱點的類型即可,因為防護建議內容通過搜索都可查到,所以本節能詳細說明建議內容,以提高客戶的滿意度。
附件或參考文件(如無,可以省略):有些公司會將小組成員的資歷列在此處,以供甲方參考。
03 撰寫報告的注意事項有哪些?
一份好的報告可以為測試操作加分,一份不好的報告會毀了測試人員的努力,所以撰寫滲透測試報告不可太隨便,以下提供三個撰寫要領,以供參考:
①重點漏洞要用直白的話寫,讓主管一目了然,翻開報告書就能夠感受到滲透測試的價值
②撰寫針對漏洞的修補建議時,言之有物,并附上修補范例
③圖表重于文字,重點位置量附圖佐證,數據對比或匯總,避免抓不到重點
④測試結果、弱點、漏洞務必要提出來,并給予修正建議
知了堂擁有于其他機構的教學培養模式:產教融合、定星定級。通過前期針對學員做一對一教學定制方案,到中期教學過程中帶領學員參與商業實戰項目,再到后期就業指導,實現教育閉環,給予學員一站式、地學習體驗,幫助學員提升技術實戰能力與職業素養能力,成為符合企業招聘需求的人才。