渗透测试 - 报告撰写

经验丰富的渗透测试人员不一定能写出优秀的报告，因为渗透测试报告的撰写是一门需要单独学习的艺术。

什么是报告撰写？

在渗透测试中，报告撰写是一项全面的任务，包括方法论、程序、对报告内容和设计的正确解释、测试报告的详细示例以及测试人员的个人经验。报告准备完成后，将与目标组织的高级管理人员和技术团队共享。如果将来出现任何此类需求，则此报告用作参考。

报告撰写阶段

由于涉及到全面的写作工作，渗透测试报告的撰写被分为以下几个阶段 -

• 报告计划
• 信息收集
• 撰写初稿
• 审查和定稿

报告计划

报告计划从目标开始，这有助于读者了解渗透测试的主要要点。这部分描述了为什么进行测试，渗透测试的好处是什么等等。其次，报告计划还包括测试所需的时间。

报告撰写的主要要素为 -

• 目标 - 描述渗透测试的总体目的和好处。

• 时间 - 包含时间非常重要，因为它提供了系统的准确状态。假设，如果以后发生任何错误，此报告将保护测试人员，因为该报告将在特定时间段内说明渗透测试范围内的风险和漏洞。

• 目标受众 - 渗透测试报告还需要包含目标受众，例如信息安全经理、信息技术经理、首席信息安全官和技术团队。

• 报告分类 - 由于它高度机密，包含服务器 IP 地址、应用程序信息、漏洞、威胁，因此需要进行适当的分类。但是，此分类需要根据拥有信息分类策略的目标组织进行。

• 报告分发 - 工作范围应提及副本数量和报告分发。它还需要说明可以通过打印附有编号和接收者姓名的有限数量的副本来控制硬拷贝。

信息收集

由于流程复杂且冗长，渗透测试人员需要提及每个步骤，以确保他在测试的所有阶段都收集了所有信息。除了方法外，他还需要提及系统和工具、扫描结果、漏洞评估、发现的详细信息等。

撰写初稿

一旦测试人员准备好所有工具和信息，现在他需要开始撰写初稿。首先，他需要详细地撰写初稿 - 提及所有内容，即所有活动、流程和经验。

审查和定稿

报告起草完成后，首先需要由起草者本人审查，然后由可能协助他的上级或同事审查。在审查过程中，审查人员应检查报告的每个细节，并查找需要更正的任何缺陷。

渗透测试报告的内容

以下是渗透测试报告的典型内容 -