如何写好一份渗透测试报告( 二 ) _渗透测试报告

报告甚至可能最终共享给整个组织。这听起来很疯狂，但它确实发生过。我执行一次社会工程学测试，其结果低于客户的期望。被触怒的CEO将报告传递给整个组织，作为提高防范社会工程攻击意识的一种方式。更有趣的是，几周后当我访问同一个公司做一些安全意识的培训。我在自我介绍时说，我就是之前那个负责社工测试的人。愤怒的目光，嘲讽的语气，埋怨我给他们所有人带来多少麻烦。我的内心毫无波动，答道：“把密码给我总比给真正的黑客好。”
报告应该包含什么？有时候你会很幸运地看到，客户在项目计划之初就表明他们想要的报告内容。甚至有一些更为细小的要求，比如，字体大小和线间距等。但是这只是少数，大部分客户还是不知道最终要什么结果，所以下面给出一般报告的撰写程序。
封面
封面是报告的第一面窗户，封面页上包含的细节可以不那么明显。但是测试公司的名称、标志以及客户的名称应该突出显示。诸如“内部网络扫描”或“DMZ测试”测试标题也应该在那里，对于相同的客户执行多个测试时，可以避免混淆。测试时间也要写上，随着时间的推移，用户可以清楚地得知他们的安全状况是否得到了改善。
另外该封面还应包含文档的密级，并与客户商定如何保密好这份商业上的敏感文件。
内容提要
我见过一些简直像短篇小说一样的内容提要，其实这部分一般要限制在一页纸以内。不要提及任何特定的工具、技术，因为客户根本不在乎，他们只需要知道的是你做了什么，发现了什么，接下来要发生什么，为什么，执行摘要的最后一行应该是一个结论，即明确指出该系统是安全还是不安全。

举个例子：
一个糟糕的总结：“总之，我们发现一些地方的安全策略运作良好，但有些地方并未遵从。这导致了一定风险，但并不是致命风险。”
一个优秀的总结：“总之，我们发现了某些地方没有遵守安全策略，这给组织带来了一个风险，因此我们必须声明该系统是不安全的。”

漏洞总结
将漏洞列表放在一个页面上，这样，IT经理便可以一目了然的知道接下来要做什么。具体怎样表现出来，形式多样，你可以使用花哨的图形（像表格或图表），只要清晰明了就行。漏洞可以按类别（例如软件问题，网络设备配置，密码策略）进行分组，严重程度或CVSS评分——方法很多，只要工作做得好，很容易理解。

文章插图

测试团队的详细信息
记录测试过程中所涉及的每一个测试人员的名字，这是一个基本的礼节问题，让客户知道是谁在测试他们的网络，并提供联系方式，以便后续报告中问题讨论。一些客户和测试公司也喜欢依据测试的内容向不同的测试小组分配任务。多一双眼睛，就可以从不同的角度查看系统的问题。
工具列表
包括版本和功能的简要描述。这点会涉及到可重复性。如果有人要准确复现您的测试，他们需要确切地知道您使用的工具。

文章插图

工作范围
事先已经同意，转载作为参考是有用的。
报告主体
这部分才是报告的精华，报告的正文应包括所有检测到的漏洞细节，如何发现漏洞，如何利用漏洞，以及漏洞利用的可能性。无论你做的是什么，都要保证给出一个清晰的解释。我看过无数份报告，都是简单的复制粘贴漏洞扫描的结果，这是不对的。另外报告中还应包括切实贴合的修复建议。