一個(gè)完整的滲透測(cè)試工作流程中，實(shí)際有近一半時(shí)間都用在如何編寫(xiě)報(bào)告上，滲透測(cè)試工程師的工作，不僅需要具備高超的滲透測(cè)試水平，同樣也需要把一個(gè)深?yuàn)W的技術(shù)點(diǎn)解釋的通俗易懂，即使是完全不懂的人也可以理解。

那么，一份標(biāo)準(zhǔn)的滲透測(cè)試報(bào)告究竟是什么樣的呢?本期，跟隨知了姐一起學(xué)習(xí)滲透測(cè)試報(bào)告的相關(guān)知識(shí)吧~

01 滲透測(cè)試報(bào)告的重要性

滲透測(cè)試是一個(gè)科學(xué)的過(guò)程，像所有科學(xué)流程一樣，應(yīng)該是獨(dú)立可重復(fù)的。當(dāng)客戶(hù)不滿(mǎn)意測(cè)試結(jié)果時(shí)，他有權(quán)要求另外一名測(cè)試人員進(jìn)行復(fù)現(xiàn)，此時(shí)如果你的報(bào)告沒(méi)有詳細(xì)說(shuō)明結(jié)論的話(huà)，第二個(gè)測(cè)試人員將會(huì)不知從何入手，得出的結(jié)論也極有可能不一樣，甚至遺漏相關(guān)漏洞。

舉個(gè)例子：

模糊不清的描述：“我使用端口掃描器檢測(cè)到了一個(gè)開(kāi)放的TCP端口?！?/p>

清晰明了的描述：“我使用Nmap 5.50，對(duì)一段端口進(jìn)行SYN掃描，發(fā)現(xiàn)了一個(gè)開(kāi)放的TCP端口。

命令是：nmap –sS –p 7000-8000“

報(bào)告是實(shí)實(shí)在在的測(cè)試過(guò)程的輸出，且是真實(shí)測(cè)試結(jié)果的證據(jù)，對(duì)客戶(hù)而言他們可能對(duì)報(bào)告的內(nèi)容沒(méi)什么興趣，但這份報(bào)告是他們一份證明測(cè)試費(fèi)用的證據(jù)。

02 如何準(zhǔn)備好滲透測(cè)試記錄?

1.準(zhǔn)備好滲透測(cè)試記錄

測(cè)試記錄是執(zhí)行過(guò)程的日志，在每日測(cè)試工作結(jié)束后，應(yīng)將當(dāng)日的成果做成記錄，雖然內(nèi)容不必太過(guò)細(xì)致，但測(cè)試的重點(diǎn)必須記錄在案：

·擬檢測(cè)的項(xiàng)目

·使用的工具或方法

·檢測(cè)過(guò)程描述

·檢測(cè)結(jié)果說(shuō)明

·過(guò)程的重點(diǎn)截圖(有結(jié)果的畫(huà)面)

2.撰寫(xiě)滲透測(cè)試報(bào)告書(shū)

報(bào)告書(shū)是整個(gè)測(cè)試測(cè)試操作結(jié)果的匯總，大概會(huì)以下列大綱撰寫(xiě)：

前言：說(shuō)明執(zhí)行測(cè)試的目的

聲明：依照滲透測(cè)試同意書(shū)協(xié)商事項(xiàng)，列舉于此，通常作為乙方的免責(zé)聲明。

摘要：將本次滲透測(cè)試所發(fā)現(xiàn)的弱點(diǎn)及漏洞做一個(gè)匯總性的說(shuō)明，如果系統(tǒng)又良好的防護(hù)機(jī)制，亦可書(shū)寫(xiě)于此，提供給甲方的其他網(wǎng)站系統(tǒng)作為管理參考。

執(zhí)行方式：“大致”說(shuō)明測(cè)試的方法論、測(cè)試的方法、執(zhí)行時(shí)間以及測(cè)試的評(píng)定方式，評(píng)定方式是雙方約定的條件為準(zhǔn)，例如：發(fā)現(xiàn)中高風(fēng)險(xiǎn)項(xiàng)目、能提權(quán)成功、能完成插旗(即在目標(biāo)網(wǎng)站中上傳指定的文件或修改網(wǎng)頁(yè)內(nèi)容)、中斷系統(tǒng)服務(wù)……

執(zhí)行過(guò)程說(shuō)明：依照雙方議定的項(xiàng)目，說(shuō)明測(cè)試“結(jié)果”，不論可以滲透成功或無(wú)法成功，都應(yīng)說(shuō)明執(zhí)行的程序。

通常標(biāo)注“詳細(xì)執(zhí)行步驟，如《滲透測(cè)試記錄表》”，以便滲透測(cè)試記錄表引入報(bào)告書(shū)中，并列出本次操作對(duì)風(fēng)險(xiǎn)高低的評(píng)定說(shuō)明，例如：測(cè)試完成后，乙方人員針對(duì)所有測(cè)試目標(biāo)評(píng)定其風(fēng)險(xiǎn)等級(jí)，以該測(cè)試目標(biāo)所造成的沖擊程度及發(fā)生的可能性作為因子，相乘得出風(fēng)險(xiǎn)等級(jí)，評(píng)定如下：

發(fā)現(xiàn)事項(xiàng)與建議改善說(shuō)明：這是整份報(bào)告書(shū)中重要的部分，任何滲透測(cè)試都必須提供客戶(hù)防護(hù)或弱點(diǎn)修正建議，其實(shí)只要能界定弱點(diǎn)的類(lèi)型即可，因?yàn)榉雷o(hù)建議內(nèi)容通過(guò)搜索都可查到，所以本節(jié)能詳細(xì)說(shuō)明建議內(nèi)容，以提高客戶(hù)的滿(mǎn)意度。

附件或參考文件(如無(wú)，可以省略)：有些公司會(huì)將小組成員的資歷列在此處，以供甲方參考。

03 撰寫(xiě)報(bào)告的注意事項(xiàng)有哪些?

一份好的報(bào)告可以為測(cè)試操作加分，一份不好的報(bào)告會(huì)毀了測(cè)試人員的努力，所以撰寫(xiě)滲透測(cè)試報(bào)告不可太隨便，以下提供三個(gè)撰寫(xiě)要領(lǐng)，以供參考：

①重點(diǎn)漏洞要用直白的話(huà)寫(xiě)，讓主管一目了然，翻開(kāi)報(bào)告書(shū)就能夠感受到滲透測(cè)試的價(jià)值

②撰寫(xiě)針對(duì)漏洞的修補(bǔ)建議時(shí)，言之有物，并附上修補(bǔ)范例

③圖表重于文字，重點(diǎn)位置量附圖佐證，數(shù)據(jù)對(duì)比或匯總，避免抓不到重點(diǎn)

④測(cè)試結(jié)果、弱點(diǎn)、漏洞務(wù)必要提出來(lái)，并給予修正建議

知了堂擁有于其他機(jī)構(gòu)的教學(xué)培養(yǎng)模式：產(chǎn)教融合、定星定級(jí)。通過(guò)前期針對(duì)學(xué)員做一對(duì)一教學(xué)定制方案，到中期教學(xué)過(guò)程中帶領(lǐng)學(xué)員參與商業(yè)實(shí)戰(zhàn)項(xiàng)目，再到后期就業(yè)指導(dǎo)，實(shí)現(xiàn)教育閉環(huán)，給予學(xué)員一站式、地學(xué)習(xí)體驗(yàn)，幫助學(xué)員提升技術(shù)實(shí)戰(zhàn)能力與職業(yè)素養(yǎng)能力，成為符合企業(yè)招聘需求的人才。