渗透测试-报告撰写

---

经验丰富的渗透测试人员不一定能写出好的报告，因为编写渗透测试报告是一门需要单独学习的艺术。

什么是报告写作？

在渗透测试中，报告撰写是一项综合性的任务，包括方法、程序、报告内容和设计的正确解释、测试报告的详细示例以及测试人员的个人经验。报告准备好后，将在目标组织的高级管理人员和技术团队之间共享。今后如有此类需要，可将此报告作为参考。

报告撰写阶段

由于涉及全面的写作工作，渗透报告的写作分为以下阶段 -

• 报告策划
• 信息收集
• 撰写初稿
• 审查和定稿

报告策划

报告规划从目标开始，帮助读者了解渗透测试的要点。这部分描述了为什么要进行测试，渗透测试有什么好处等等。其次，报告计划还包括测试所花费的时间。

报告撰写的主要内容是 -

• 目标- 它描述了笔测试的总体目的和好处。

• 时间- 时间的包含非常重要，因为它给出了系统的准确状态。假设，如果以后出现任何问题，这份报告将拯救测试人员，因为该报告将说明特定时间段内渗透测试范围的风险和漏洞。

• 目标受众- 笔测试报告还需要包括目标受众，例如信息安全经理、信息技术经理、首席信息安全官和技术团队。

• 报告分类- 由于携带服务器 IP 地址、应用程序信息、漏洞、威胁的信息高度机密，因此需要对其进行正确分类。然而，这种分类需要根据具有信息分类政策的目标组织来完成。

• 报告分发- 工作范围中应提及份数和报告分发。还需要提及的是，可以通过打印有限数量的附有其编号和接收者姓名的副本来控制硬拷贝。

信息收集

由于过程复杂且冗长，渗透测试人员需要提及每一个步骤，以确保他收集了测试各个阶段的所有信息。除了方法之外，他还需要提及系统和工具、扫描结果、漏洞评估、发现的详细信息等。

撰写初稿

一旦测试人员准备好所有工具和信息，现在他需要开始初稿。首先，他需要详细地写初稿——提及一切，即所有活动、过程和经历。

审查和定稿

报告起草后，必须首先由起草者本人审阅，然后由他的前辈或可能协助过他的同事审阅。在审阅时，审阅者应检查报告的每个细节并发现任何需要纠正的缺陷。

渗透测试报告内容

以下是渗透测试报告的典型内容 -