记学习渗透测试之报告测试参数二

收集信息

在渗透测试过程中,完整地记录所执行的每项操作或任务及其动机和结果十分重要。当随着时间的推移,你的渗透测试机能、知识和经验得到提升时,就能更好地把握如何取舍记录的项目。在你的经验更加丰富,知识更加渊博时,就有可能了解到一些可在不需要过度干扰或破坏工作的前提下,帮助记录工作步骤的第三方产品和应用程序。渗透测试者应至少保有对于以下操作的证明

  • 成功的漏洞利用
  • 执行的漏洞利用
  • 渗透测试过程中的基础设施失效
问题是如何维护这些信息并将其包含在报告中?以下是可以考虑的协议记录信息以将其纳入报告的方法:

截图

对成功和失败的漏洞利用、错误信息、邮件以及其他记录行动所需的结果进行截图。例如,在成功完成给定的漏洞利用之后,使用屏幕截图展示漏洞利用的结果,并防止漏洞利用不能复现的情况出现。显示错误信息和其它输出的屏幕截图也是有用的,因为可将它们展示给客户和技术人员或其他人员,以说明他们需要解决的具体问题。

日志记录

由于毫无疑问渗透测试过程中产生的很大一部分信息江北纳入各种系统中的各种应用程序的日志中,因此这些信息也应该包含在报告中。选择哪些日志记录纳入报告将取决于客户而千差万别,但可以预期文档中包含一些日志。由于可能生成大量日志,因此可能会发现数字形式的报告在这方面比较便利。

脚本

在适当的情况下,可以选择纳入任何在渗透测试过程中所使用的脚本,脚本可以是自行编写的,也可以来自其他来源。通常这样做是为了向技术人员或技术相关人员说明一些细节。

本作品采用《CC 协议》,转载必须注明作者和本文链接
理想的光照不到现实的黑暗,明灯是黑夜中的奢侈品。如果你接受不了真实生活千疮百孔的消极,那么,请移步儿童区...
本帖由系统于 7个月前 自动加精
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!