一份標(biāo)準(zhǔn)的滲透測試報(bào)告是什么樣的（附報(bào)告模板）

時間：2022-11-29作者：成都匯智知了堂科技有限公司瀏覽：206

一個完整的滲透測試工作流程中，實(shí)際有近一半時間都用在如何編寫報(bào)告上，滲透測試工程師的工作，不僅需要具備高**的滲透測試水平，同樣也需要把一個深奧的技術(shù)點(diǎn)解釋的通俗易懂，即使是完全不懂安全的人也可以理解。

那么，一份標(biāo)準(zhǔn)的滲透測試報(bào)告究竟是什么樣的呢?本期，跟隨知了姐一起學(xué)習(xí)滲透測試報(bào)告的相關(guān)知識吧~

01 滲透測試報(bào)告的重要性

滲透測試是一個科學(xué)的過程，像所有科學(xué)流程一樣，應(yīng)該是獨(dú)立可重復(fù)的。當(dāng)客戶不滿意測試結(jié)果時，他有權(quán)要求另外一名測試人員進(jìn)行復(fù)現(xiàn)，此時如果你的報(bào)告沒有詳細(xì)說明結(jié)論的話，*二個測試人員將會不知從何入手，得出的結(jié)論也較有可能不一樣，甚至遺漏相關(guān)漏洞。

舉個例子：

模糊不清的描述：“我使用端口掃描器檢測到了一個開放的TCP端口?！?/p>

清晰明了的描述：“我使用Nmap 5.50，對一段端口進(jìn)行SYN掃描，發(fā)現(xiàn)了一個開放的TCP端口。

命令是：nmap –sS –p 7000-8000“

報(bào)告是實(shí)實(shí)在在的測試過程的輸出，且是真實(shí)測試結(jié)果的證據(jù)，對客戶而言他們可能對報(bào)告的內(nèi)容沒什么興趣，但這份報(bào)告是他們一一份明測試費(fèi)用的據(jù)。

02 如何準(zhǔn)備好滲透測試記錄?

1.準(zhǔn)備好滲透測試記錄

測試記錄是執(zhí)行過程的日志，在每日測試工作結(jié)束后，應(yīng)將當(dāng)日的成果做成記錄，雖然內(nèi)容不必太過細(xì)致，但測試的重點(diǎn)必須記錄在案：

·擬檢測的項(xiàng)目

·使用的工具或方法

·檢測過程描述

·檢測結(jié)果說明

·過程的重點(diǎn)截圖(有結(jié)果的畫面)

2.撰寫滲透測試報(bào)告書

報(bào)告書是整個測試測試操作結(jié)果的匯總，大概會以下列大綱撰寫：

前言：說明執(zhí)行測試的目的

聲明：依照滲透測試同意書協(xié)商事項(xiàng)，列舉于此，通常作為乙方的免責(zé)聲明。

摘要：將本次滲透測試所發(fā)現(xiàn)的弱點(diǎn)及漏洞做一個匯總性的說明，如果系統(tǒng)又良好的防護(hù)機(jī)制，亦可書寫于此，提供給甲方的其他網(wǎng)站系統(tǒng)作為管理參考。

執(zhí)行方式：“大致”說明測試的方法論、測試的方法、執(zhí)行時間以及測試的評定方式，評定方式是雙方約定的條件為準(zhǔn)，例如：發(fā)現(xiàn)中高風(fēng)險(xiǎn)項(xiàng)目、能提權(quán)成功、能完成插旗(即在目標(biāo)網(wǎng)站中上傳*的文件或修改網(wǎng)頁內(nèi)容)、中斷系統(tǒng)服務(wù)……

執(zhí)行過程說明：依照雙方議定的項(xiàng)目，說明測試“結(jié)果”，不論可以滲透成功或無法成功，都應(yīng)說明執(zhí)行的程序。

通常標(biāo)注“詳細(xì)執(zhí)行步驟，如《滲透測試記錄表》”，以便滲透測試記錄表引入書中，并列出本次操作對風(fēng)險(xiǎn)高低的評定說明，例如：測試完成后，乙方人員針對所有測試目標(biāo)評定其風(fēng)險(xiǎn)等級，以該測試目標(biāo)所造成的沖擊程度及發(fā)生的可能性作為因子，相乘得出風(fēng)險(xiǎn)等級，評定如下：

發(fā)現(xiàn)事項(xiàng)與建議改善說明：這是整份報(bào)告書中較重要的部分，任何滲透測試都必須提供客戶防護(hù)或弱點(diǎn)修正建議，其實(shí)只要能界定弱點(diǎn)的類型即可，因?yàn)榉雷o(hù)建議內(nèi)容通過搜索都可查到，所以本節(jié)較好能詳細(xì)說明建議內(nèi)容，以提高客戶的滿意度。

附件或參考文件(如無，可以省略)：有些公司會將小組成員的資歷列在此處，以供甲方參考。

03 撰寫報(bào)告的注意事項(xiàng)有哪些?

一份好的報(bào)告可以為測試操作加分，一份不好的報(bào)告會毀了測試人員的努力，所以撰寫滲透測試報(bào)告不可太隨便，以下提供三個撰寫要領(lǐng)，以供參考：

①重點(diǎn)漏洞要用直白的話寫，讓主管一目了然，翻開報(bào)告書就能夠感受到滲透測試的**

②撰寫針對漏洞的修補(bǔ)建議時，較好言之有物，并附上修補(bǔ)范例

③圖表重于文字，重點(diǎn)位置量附圖佐證，數(shù)據(jù)對比或匯總，避免抓不點(diǎn)

④測試結(jié)果、弱點(diǎn)、漏洞務(wù)必要提出來，并給予修正建議

知了堂擁有良好于其他機(jī)構(gòu)的教學(xué)培養(yǎng)模式：產(chǎn)教融合、定星定級。通過前期針對學(xué)員做一對一教學(xué)定制方案，到中期教學(xué)過程中帶領(lǐng)學(xué)員參與商業(yè)實(shí)戰(zhàn)項(xiàng)目，再到后期就業(yè)指導(dǎo)，實(shí)現(xiàn)教育閉環(huán)，給予學(xué)員一站式、全面地學(xué)習(xí)體驗(yàn)，幫助學(xué)員提升技術(shù)實(shí)戰(zhàn)能力與職業(yè)素養(yǎng)能力，成為符合企業(yè)需求的人才。


成都匯智知了堂科技有限公司專注于網(wǎng)絡(luò)安全培訓(xùn),Java培訓(xùn),軟件測試培訓(xùn)等

• 詞條

  詞條說明

• 就業(yè)壓力大,大學(xué)生如何突圍為自己開辟路徑

  經(jīng)濟(jì)形勢寒冬，企業(yè)人才的門檻不斷提高，應(yīng)屆生們面試時屢屢碰壁，因而掉頭選擇考研或考公，導(dǎo)致壓力與競爭轉(zhuǎn)移，考研與考公成為另一條廝殺激烈的競爭賽道。可仔細(xì)想想，不容樂觀的就業(yè)趨勢下，又有多少賽道可供選擇?求職or考公，其本質(zhì)都是為了就業(yè)，比起不斷轉(zhuǎn)換賽道如籠中困獸，或許較應(yīng)該重視的是：如何提高自身專業(yè)技能，以及職場競爭優(yōu)勢，在求職賽道中殺出重圍!為緩解應(yīng)屆生就業(yè)壓力，知了堂作為成都天府軟件園產(chǎn)教融合

• Java暑期培訓(xùn)班怎么樣？*口碑好的培訓(xùn)機(jī)構(gòu)

  現(xiàn)在的Java培訓(xùn)幾乎每個城市都有不少，很多放了寒暑假的同學(xué)抓住了這一空擋，想利用休假日去學(xué)習(xí)一門技術(shù)，為自己在日后的糾結(jié)中增加一些選擇，那么這么多的Java培訓(xùn)，又不太好選去哪家，這里小編建議，在選擇的時候我們只要*口碑好的培訓(xùn)機(jī)構(gòu)基本上就不會太差。Java暑期培訓(xùn)班怎么樣?來具體的說一下。1. 相比較其他的城市，目前很多的行業(yè)大拿也都是聚集在成都這樣的城市，所以成都Java開發(fā)培訓(xùn)機(jī)構(gòu)的師資

• Java培訓(xùn)真的有用嗎,有用的Java培訓(xùn)學(xué)習(xí)提升方法

  Java培訓(xùn)真的有用嗎?沒參加Java培訓(xùn)的人都會有這個疑問，但是縱觀參加過Java培訓(xùn)的人，百分之九十九的人都會認(rèn)為Java培訓(xùn)有用。Java培訓(xùn)有沒有用很大程度取決于你是怎么學(xué)的。好多學(xué)員在早期學(xué)習(xí)的過程中，覺得Java非常簡單，稍微用些工努力一點(diǎn)就可以學(xué)習(xí)的非常好，平時也很少操練就可以掌握，但一到**階段就沒辦法用一樣的方式學(xué)習(xí)，較主要是學(xué)習(xí)效率非常明顯的下降。針對這樣的狀況，主要可以按照接

• 尋找靠譜的IT培訓(xùn)機(jī)構(gòu)，這幾點(diǎn)很重要

  IT編程培訓(xùn)的科目有很多，目前比較主流熱門的科目一般有Java、Python、**、大數(shù)據(jù)、運(yùn)維、軟件測試等等。目前市面上的很多IT培訓(xùn)機(jī)構(gòu)，大概的培訓(xùn)費(fèi)用在12K~15K之間，根據(jù)學(xué)習(xí)的科目內(nèi)容不同，價(jià)格也不同。IT行業(yè)是現(xiàn)在比較熱門的行業(yè)，發(fā)展前景好、工資待遇高。*城市，一個初入行業(yè)的Java程序員的工資基本都上萬，*的程序員工資較高。也正是因?yàn)槿绱?，很多在職職工紛紛?bào)名學(xué)習(xí)IT知識，大家