滲透測試 - 報告撰寫

經驗豐富的滲透測試人員不一定能寫出優秀的報告，因為滲透測試報告的撰寫是一門需要單獨學習的藝術。

什麼是報告撰寫？

在滲透測試中，報告撰寫是一項全面的任務，包括方法論、程式、對報告內容和設計的正確解釋、測試報告的詳細示例以及測試人員的個人經驗。報告準備完成後，將與目標組織的高階管理人員和技術團隊共享。如果將來出現任何此類需求，則此報告用作參考。

報告撰寫階段

由於涉及到全面的寫作工作，滲透測試報告的撰寫被分為以下幾個階段 -

• 報告計劃
• 資訊收集
• 撰寫初稿
• 審查和定稿

報告計劃

報告計劃從目標開始，這有助於讀者瞭解滲透測試的主要要點。這部分描述了為什麼進行測試，滲透測試的好處是什麼等等。其次，報告計劃還包括測試所需的時間。

報告撰寫的主要要素為 -

• 目標 - 描述滲透測試的總體目的和好處。

• 時間 - 包含時間非常重要，因為它提供了系統的準確狀態。假設，如果以後發生任何錯誤，此報告將保護測試人員，因為該報告將在特定時間段內說明滲透測試範圍內的風險和漏洞。

• 目標受眾 - 滲透測試報告還需要包含目標受眾，例如資訊安全經理、資訊科技經理、首席資訊安全官和技術團隊。

• 報告分類 - 由於它高度機密，包含伺服器 IP 地址、應用程式資訊、漏洞、威脅，因此需要進行適當的分類。但是，此分類需要根據擁有資訊分類策略的目標組織進行。

• 報告分發 - 工作範圍應提及副本數量和報告分發。它還需要說明可以透過列印附有編號和接收者姓名的有限數量的副本來控制硬複製。

資訊收集

由於流程複雜且冗長，滲透測試人員需要提及每個步驟，以確保他在測試的所有階段都收集了所有資訊。除了方法外，他還需要提及系統和工具、掃描結果、漏洞評估、發現的詳細資訊等。

撰寫初稿

一旦測試人員準備好所有工具和資訊，現在他需要開始撰寫初稿。首先，他需要詳細地撰寫初稿 - 提及所有內容，即所有活動、流程和經驗。

審查和定稿

報告起草完成後，首先需要由起草者本人審查，然後由可能協助他的上級或同事審查。在審查過程中，審查人員應檢查報告的每個細節，並查詢需要更正的任何缺陷。

滲透測試報告的內容

以下是滲透測試報告的典型內容 -