有经验的渗透测试人员没有必要写出好的报告,因为编写渗透测试报告是一项需要单独学习的艺术.
在渗透测试中,报告编写是一项全面的任务,包括方法,程序,报告内容和设计的正确解释,测试报告的详细示例以及测试人员的个人经验.报告编写完成后,由目标组织的高级管理人员和技术团队共享.如果将来出现这种需求,本报告将作为参考.
由于涉及全面的写作工作,渗透报告编写分为以下阶段和减号;
报告计划
信息收集
撰写初稿
审核并最终确定
报告计划从目标开始,这有助于读者了解渗透测试的要点.这部分描述了为什么要进行测试,笔测试有什么好处等.其次,报告计划还包括测试所需的时间.
报告编写的主要元素是 : 去;
目标 : 它描述了笔测试的总体目的和好处.
时间 : 包含时间非常重要,因为它可以提供系统的准确状态.假设,如果以后发生任何错误,该报告将保存测试人员,因为报告将说明在特定时间段内渗透测试范围内的风险和漏洞.
目标受众 : 笔测试报告还需要包括目标受众,如信息安全经理,信息技术经理,首席信息安全官和技术团队.
报告分类 : 由于它是高度机密的,它携带服务器IP地址,应用程序信息,漏洞,威胁,因此需要进行适当的分类.但是,这种分类需要在具有信息分类政策的目标组织的基础上进行.
报告分布 : 应在工作范围内提及份数和报告分布.还需要提及的是,可以通过打印附有编号和接收者姓名的有限数量的副本来控制硬拷贝.
由于过程复杂而漫长,笔测试员需要提及每一步,以确保他收集了测试所有阶段的所有信息.除了这些方法,他还需要提及系统和工具,扫描结果,漏洞评估,他的发现细节等.
有一次,测试人员准备好了所有工具和信息,现在他需要开始初稿.首先,他需要在细节中写下初稿 - 提及所有活动,流程和经验.
一次该报告起草后,必须首先由起草人本人进行审查,然后由可能协助他的老年人或同事进行审查.在审核时,审核人员应检查报告的每个细节,并找出需要纠正的任何缺陷.
以下是渗透测试报告的典型内容 :
执行摘要
方法论
详细信息结果
参考文献
|
