渗透测试报告的编写
- 但是对目标的攻击并不是最终的目的。
- 正确的做法应该是
将发现的问题以报告的形式提交绐客户。 - 让
客户能够理解问题的严重性,并对此作出正确的回应,及时进行改正,这才是我们真正应该做的。 - 这一切需要
通过沟通才能完成,除了与客户之间的交流之外,还必须向客户提供一份易于理解的书面测试报告。 - 渗透测试的最后一个也是最为重要的一个阶段就是报告编写。
- 作为一个合格的渗透测试人员应该
具备良好的报告编写能力。 - 渗透测试人员在编写测试的时候应该保证报告的专业性,但是这份报告最后的阅读者往往是并不具备孝业领知识的管理人员,因此
需要避免使用过于专业的术语,并且易于理解。
- 如果将我们整个渗诱测试的过程看做是工厂中的生产过程,那么
最后的产品就是渗透测试报告。 - 虽然很多初入职场的工程师和学生都认为编写文档是一件技术含量不高的工作,这其实是一个十分错误的观点。
- 渗透测试人员需要将整个渗透测试过程中完成的工作以书面报告的形式整理出来,这伪报告必须
以通俗易懂的语言全面地总结这次测试过程中的工作。 - 一种比较塘糕的情况就是我们对目标进行了大量的渗透测试工作,而且也发现了目标网络中存在的问题,但是目标网络的管理人员却无法理解我们的报告,或者对我们提出的问题没有足够的重视,这样其实我们在渗透测试时所花费的时间和精力都被浪费了。
- 因此,
一份合格的渗透测试报告应该可以让所有的人员都能够看懂,而且轻而易的发现报告中指出问题的重要性。 - 这样一来,渗透测试人员就不能仅仅只具备渗透技能,对安全问题的修复能力、表达能力也网样重要。
- 渗透测试报告的内容摘要其实就是对最终报告的一个述,这部分内容必须避免长篇大论,应该以高度精炼的方式来概述我们在整个渗透测试阶段的工作,篇幅一般不会超过几个段落。
- 另外,在描述时
采用的语言也应该尽里简单,不要使用任何的技术术语,侧重描述目前目标中漏洞可能带来的风险。 - 参透测试的
内容摘要应该以发现的作为切入点,结合用户的实际安全需求来完成。 - 打个比方,如果现在我们是为一家银行做测试,那么银行可能最关注的就是所有客户的信息,黑客可能会利用银行对外发布http服务的web程序来窃取这些信息。
- 我们在编写报告的过程中,就应该重点描述在测试过程中发现的与此相关的漏洞。如果在测试过程没有发现这一类的漏洞,
- 内容摘要还应该说明为什么要进行这次安全渗透测试。
- 当我们对目标网络进行测试的时候,不太可能会遇见所有的设备都存在问题的情形。
- 例如我们对一个单位的所有服务器进行测试时,可能只在其中一两台设备发现了问题。
- 当我们在编写渗透测试时,是将所有服务器的信息都写入报告中呢,还是只需要将有问题的设备信息写入报告呢?
- 和这一点相类似的是,我们在编写渗透测试报告的时候,是将渗透过程中的全部则测试都写入渗透报告,还是只将发现问题的测试写入渗透报告呢?
- 实际上目前对这个问题并没有一个权威的答案,不同的机构或者专家对此可能会有不同的看法,两种做法各有利弊。
- 渗透测试的最后一个步骤就是将
编写好的报告交付给客户。 - 一般来说每一个机构都会使用专业的加密软件,如果你所在的是一个创业型企业,没有购买这方面的软件,那么你也可以使用zip格式来对报告进行加密。
- 虽然这样做看起来不是十处专业,但是要比一份明文的报告要好得多。
- 这样我们将加密之后的报告和秘钥分开传递给课户,例如可以通过电子邮件或者U盘的形式交给客户,而秘钥则以一个更安全的方式传递。
- 由于目前安全行业中并没有一份完全统一的标准,这一点给渗透测试从业人员在编写报告时带来了困难。
WAPITI模型一共包括六点:
W: 进行渗透测试的原因
A: 在渗透测试过程使用的方去
p: 在渗透测试过程发现的问题。
I: 这些发现问题会给目标带来的影响
T:给目标提出改正的方案
I: 明确客户已经清楚了解报告的内容。
我一直喜欢下午的阳光,
它让我相信这个世界任何事情都会有转机,
相信命运的宽厚和美好。
——饶雪漫《按时长大》
