渗透测试报告怎么写？记得收藏好哦

news2024/11/25 20:51:58

1、准备好渗透测试记录

2、撰写渗透测试报告书

报告书的撰写建议

1、重点

2、图表重于文字

3、结果与建议

总结：

1、准备好渗透测试记录

测试记录是执行过程的日志，在每日测试工作结束后，应将当日的成果做成记录，虽然内容不必太过细致，但测试的重点必须记录在案：

拟检测的项目
使用的工具或方法
检测过程描述
检测结果说明
过程的重点截图(有结果的画面)

Python自动化测试学习交流群：全套自动化测试面试简历学习资料获取点击链接加入群聊【python自动化测试交流】：http://qm.qq.com/cgi-bin/qm/qr?_wv=1027&k=DhOSZDNS-qzT5QKbFQMsfJ7DsrFfKpOF&authKey=eBt%2BF%2FBK81lVLcsLKaFqnvDAVA8IdNsGC7J0YV73w8V%2FJpdbby66r7vJ1rsPIifg&noverify=0&group_code=198408628

2、撰写渗透测试报告书

报告书是整个测试测试操作结果的汇总，大概会以下列大纲撰写：

前言：说明执行测试的目的。

声明：依照渗透测试同意书协商事项，列举于此，通常作为乙方的免责声明。

摘要：将本次渗透测试所发现的弱点及漏洞做一个汇总性的说明，如果系统又良好的防护机制，亦可书写于此，提供给甲方的其他网站系统作为管理参考。

执行方式：“大致”说明测试的方法论、测试的方法、执行时间以及测试的评定方式，评定方式是双方约定的条件为准，例如：发现中高风险项目、能提权成功、能完成插旗(即在目标网站中上传指定的文件或修改网页内容)、中断系统服务……

执行过程说明：依照双方议定的项目，说明测试“结果”，不论可以渗透成功或无法成功，都应说明执行的程序。

通常标注“详细执行步骤，如《渗透测试记录表》”，以便渗透测试记录表引入报告书中，并列出本次操作对风险高低的评定说明，例如：测试完成后，乙方人员针对所有测试目标评定其风险等级，以该测试目标所造成的冲击程度及发生的可能性作为因子，相乘得出风险等级，评定如下：

发现事项与建议改善说明：这是整份报告书中最重要的部分，任何渗透测试都必须提供客户防护或弱点修正建议，其实只要能界定弱点的类型即可，因为防护建议内容通过搜索都可查到，所以本节最好能详细说明建议内容，以提高客户的满意度。

附件或参考文件(如无，可以省略)：有些公司会将小组成员的资历列在此处，以供甲方参考。

报告书的撰写建议

一份好的报告可以为测试操作加分，一份不好的报告会毁了测试人员的努力，所以撰写渗透测试报告不可太随便，以下提供三个撰写要领，以供参考。

1、重点

报告书的读者有两类：一类是主管，主管有决策权，但通常没有耐心查看技术文件，报告书最好一开始就节选所发现的“重点漏洞”，这些重点漏洞要用直白的话写，让主管一目了然，翻开报告书就能够感受到渗透测试的价值；另一类是系统负责人( 经办人员)，他们在意的是漏洞或弱点要如何修补，对修补建议最好言之有物，并附上修补范例。

至于描述执行过程说明文字则可以详细些，尤其是专业术语的说明，用以展现测试团队技术的“高深”，不过自己没有把握解释清楚的术语就不要写进去了，免得弄巧成拙，虽然这一部分看的人不多，但是可以增加报告书的版本分量。