一份標準的滲透測試報告是什么樣的附報告模板 DATE: 2024-11-24 03:03:27
價 格:面議
一個完整的份標滲透測試工作流程中,實際有近一半時間都用在如何編寫報告上,滲透什樣滲透測試工程師的測試工作,不僅需要具備高超的報告報告滲透測試水平,同樣也需要把一個深奧的模板技術(shù)點解釋的通俗易懂,即使是份標完全不懂的人也可以理解。
那么,滲透什樣一份標準的測試滲透測試報告究竟是什么樣的呢?本期,跟隨知了姐一起學習滲透測試報告的報告報告相關(guān)知識吧~
01 滲透測試報告的重要性
滲透測試是一個科學的過程,像所有科學流程一樣,模板應(yīng)該是份標獨立可重復(fù)的。當客戶不滿意測試結(jié)果時,滲透什樣他有權(quán)要求另外一名測試人員進行復(fù)現(xiàn),測試此時如果你的報告報告報告沒有詳細說明結(jié)論的話,第二個測試人員將會不知從何入手,模板得出的結(jié)論也極有可能不一樣,甚至遺漏相關(guān)漏洞。
舉個例子:
模糊不清的描述:“我使用端口掃描器檢測到了一個開放的TCP端口。“
清晰明了的描述:“我使用Nmap 5.50,對一段端口進行SYN掃描,發(fā)現(xiàn)了一個開放的TCP端口。
命令是:nmap –sS –p 7000-8000“
報告是實實在在的測試過程的輸出,且是真實測試結(jié)果的證據(jù),對客戶而言他們可能對報告的內(nèi)容沒什么興趣,但這份報告是他們一份證明測試費用的證據(jù)。
02 如何準備好滲透測試記錄?
1.準備好滲透測試記錄
測試記錄是執(zhí)行過程的日志,在每日測試工作結(jié)束后,應(yīng)將當日的成果做成記錄,雖然內(nèi)容不必太過細致,但測試的重點必須記錄在案:
·擬檢測的項目
·使用的工具或方法
·檢測過程描述
·檢測結(jié)果說明
·過程的重點截圖(有結(jié)果的畫面)
2.撰寫滲透測試報告書
報告書是整個測試測試操作結(jié)果的匯總,大概會以下列大綱撰寫:
前言:說明執(zhí)行測試的目的
聲明:依照滲透測試同意書協(xié)商事項,列舉于此,通常作為乙方的免責聲明。
摘要:將本次滲透測試所發(fā)現(xiàn)的弱點及漏洞做一個匯總性的說明,如果系統(tǒng)又良好的防護機制,亦可書寫于此,提供給甲方的其他網(wǎng)站系統(tǒng)作為管理參考。
執(zhí)行方式:“大致”說明測試的方法論、測試的方法、執(zhí)行時間以及測試的評定方式,評定方式是雙方約定的條件為準,例如:發(fā)現(xiàn)中高風險項目、能提權(quán)成功、能完成插旗(即在目標網(wǎng)站中上傳指定的文件或修改網(wǎng)頁內(nèi)容)、中斷系統(tǒng)服務(wù)……
執(zhí)行過程說明:依照雙方議定的項目,說明測試“結(jié)果”,不論可以滲透成功或無法成功,都應(yīng)說明執(zhí)行的程序。
通常標注“詳細執(zhí)行步驟,如《滲透測試記錄表》”,以便滲透測試記錄表引入報告書中,并列出本次操作對風險高低的評定說明,例如:測試完成后,乙方人員針對所有測試目標評定其風險等級,以該測試目標所造成的沖擊程度及發(fā)生的可能性作為因子,相乘得出風險等級,評定如下:
發(fā)現(xiàn)事項與建議改善說明:這是整份報告書中重要的部分,任何滲透測試都必須提供客戶防護或弱點修正建議,其實只要能界定弱點的類型即可,因為防護建議內(nèi)容通過搜索都可查到,所以本節(jié)能詳細說明建議內(nèi)容,以提高客戶的滿意度。
附件或參考文件(如無,可以省略):有些公司會將小組成員的資歷列在此處,以供甲方參考。
03 撰寫報告的注意事項有哪些?
一份好的報告可以為測試操作加分,一份不好的報告會毀了測試人員的努力,所以撰寫滲透測試報告不可太隨便,以下提供三個撰寫要領(lǐng),以供參考:
①重點漏洞要用直白的話寫,讓主管一目了然,翻開報告書就能夠感受到滲透測試的價值
②撰寫針對漏洞的修補建議時,言之有物,并附上修補范例
③圖表重于文字,重點位置量附圖佐證,數(shù)據(jù)對比或匯總,避免抓不到重點
④測試結(jié)果、弱點、漏洞務(wù)必要提出來,并給予修正建議
知了堂擁有于其他機構(gòu)的教學培養(yǎng)模式:產(chǎn)教融合、定星定級。通過前期針對學員做一對一教學定制方案,到中期教學過程中帶領(lǐng)學員參與商業(yè)實戰(zhàn)項目,再到后期就業(yè)指導(dǎo),實現(xiàn)教育閉環(huán),給予學員一站式、地學習體驗,幫助學員提升技術(shù)實戰(zhàn)能力與職業(yè)素養(yǎng)能力,成為符合企業(yè)招聘需求的人才。