1、准备好渗透测试记录
测试记录是执行过程的日志,在每日测试工作结束后,应将当日的成果做成记录,虽然内容不必太过细致,但测试的重点必须记录在案:
- 拟检测的项目
- 使用的工具或方法
- 检测过程描述
- 检测结果说明
- 过程的重点截图(有结果的画面)
2、撰写渗透测试报告书
报告书是整个测试测试操作结果的汇总,大概会以下列大纲撰写:
前言:说明执行测试的目的。
声明:依照渗透测试同意书协商事项,列举于此,通常作为乙方的免责声明。
摘要:将本次渗透测试所发现的弱点及漏洞做一个汇总性的说明,如果系统又良好的防护机制,亦可书写于此,提供给甲方的其他网站系统作为管理参考。
执行方式:“大致”说明测试的方法论、测试的方法、执行时间以及测试的评定方式,评定方式是双方约定的条件为准,例如:发现中高风险项目、能提权成功、能完成插旗(即在目标网站中上传指定的文件或修改网页内容)、中断系统服务……
执行过程说明:依照双方议定的项目,说明测试“结果”,不论可以渗透成功或无法成功,都应说明执行的程序。
通常标注“详细执行步骤,如《渗透测试记录表》”,以便渗透测试记录表引入报告书中,并列出本次操作对风险高低的评定说明,例如:测试完成后,乙方人员针对所有测试目标评定其风险等级,以该测试目标所造成的冲击程度及发生的可能性作为因子,相乘得出风险等级,评定如下:
发现事项与建议改善说明:这是整份报告书中最重要的部分,任何渗透测试都必须提供客户防护或弱点修正建议,其实只要能界定弱点的类型即可,因为防护建议内容通过搜索都可查到,所以本节最好能详细说明建议内容,以提高客户的满意度。
附件或参考文件(如无,可以省略):有些公司会将小组成员的资历列在此处,以供甲方参考。
报告书的撰写建议
一份好的报告可以为测试操作加分,一份不好的报告会毁了测试人员的努力,所以撰写渗透测试报告不可太随便,以下提供三个撰写要领,以供参考。
1、重点
报告书的读者有两类:一类是主管,主管有决策权,但通常没有耐心查看技术文件,报告书最好一开始就节选所发现的“重点漏洞”,这些重点漏洞要用直白的话写,让主管一目了然,翻开报告书就能够感受到渗透测试的价值;另一类是系统负责人( 经办人员),他们在意的是漏洞或弱点要如何修补,对修补建议最好言之有物,并附上修补范例。
至于描述执行过程说明文字则可以详细些,尤其是专业术语的说明,用以展现测试团队技术的“高深”,不过自己没有把握解释清楚的术语就不要写进去了,免得弄巧成拙,虽然这一部分看的人不多,但是可以增加报告书的版本分量。
2、图表重于文字
想要提示客户重视的地方,尽量附图佐证,数据对比或汇总,可采用列表或表格式编排,让阅读报告的人感觉条理清晰、言之有物,避免造成抓不到重点的遗憾。
3、结果与建议
测试结果、弱点、漏洞务必要提出来,并给予修正建议,在测试过程中如果受测系统设置了不错的防护机制,也可以将该方式列入报告中,以供客户的其他系统参考。