记学习渗透测试之报告测试参数三

突出重要信息

每一份报告中都有关于该文档结构和格式的重要信息。

报告文件应具有以下结构
  • 报告封面页
  • 报告属性
  • 报告索引
  • 行动纲要(executive summary)
  • 发现问题的清单
  • 发现问题的详情说明

应当做好花费大量时间编制该文档的准备。下面介绍其基本要点。

报告封面页

这是报告的第一页,提供有关该项目的基本信息。典型的封面应包括以下内容:
  • 项目标题
  • 客户名称
  • 报告版本
  • 作者信息
  • 日期

报告属性

第二页提供参与项目人员的更多有关信息。本页面将提供以下信息:
  • 客户信息
  • 测试公司的信息
  • 渗透测试者的信息
  • 有关参与项目的其他人的信息

报告索引

本节有目录和图片组成,以便于查阅报告内容:
  • 目录中列出了主要标题以及页码。下级标题也将列出,但不必包括页码。
  • 图目录列出了报告中使用的所有图像及其标题和页码。

行动纲要

“行动纲要”部分应在项目完成后编写,目的是简要说明渗透测试过程。本节专业高层员工而设计。他用简短的文字描述了测试中使用的方法、发现的重大问题和组织的安全级别。
  • “项目目标”部分包括执行渗透测试的目标,以及测试如何帮助实现这些目标。
  • “项目范围”部分通过清晰描述所执行渗透测试的边界,说明项目的许可和限制。该部分包括待测试目标系统的相关信息;基于预算和时间的分配,选定的渗透测试的类型和深度;项目的限制(例如某些拒绝服务测试是禁止的,或者只能在工作时间开展渗透测试之类具体的限制)及其影响。
  • “授权”部分提供有关进行渗透测试的许可信息。在得到客户端和第三方服务提供商的适当书面授权,不得开始测试。该信息应在报告中记录。
  • 所有渗透测试者所做的假定应均在报告中明确提及,因为这样做可以帮助客户理解测试过程中采取行动的理由。渗透测试是一个侵入性的过程,因此描述清楚每一个假定,能够保护渗透测试者。
  • “时间表”部分使用时间术语说明渗透测试过程在时间上的生命周期。本节包括测试过程持续阶段,以及对目标进行测试的时间。由于本节明确声明所有的发现都是在所描述的时间段内得到的,在之后出现新漏洞时可以帮助渗透测试者(任何配置更改都不是渗透测试者的责任)。
  • “渗透测试摘要”描述发现的重大和中等问题,给出一份简单的渗透测试过程技术概述。摘要应该只报告重要的发现,并在一个单句中描述。本节还介绍了渗透测试所用的方法学。

发现问题清单

在“发现问题清单”章节中,所有级别的发现都以表格形式记录,以提供可快速查阅的系统安全漏洞相关信息。问题清单可依据进行的测试进行划分。也就是说,如果针对web应用程序、IT基础架构和移动应用程序进行了测试,则可以为每个被测环境制作单独的问题清单。如果进行了大规模的IT基础架构测试,那么可以只做一个仅包括高级和中级漏洞的较小问题清单,并将完整清单纳入对应章节中。

发现问题详情说明

“发现问题详情说明”章节包含了修复建议。该章节将由直接处理IT/信息安全和IT运营的人员阅读。所以,渗透测试者可以自由使用技术名词描述和漏洞相关的各种信息。该章节包括以下详细信息:
  • 在“漏洞定义”一节中,通过提供有关漏洞的详细信息,给出所进行的漏洞利用操作的基础信息。说明信息应直接基于渗透测试者工作的环境。渗透测试者可以推荐一个附录和引用文献章节,用于收集更多信息。
  • 在“脆弱性”一节中,渗透测试者应该通过重点描述环境,描述脆弱性的根本原因。例如,对于登陆页面中存在sql注入漏洞的情况,渗透测试者应指出用户名字段对某些类型的sql注入攻击是脆弱的,并列举出这些类型,而不是仅仅提供一个“登录页面易受sql攻击”的粗略说法,并将问题留给客户。
  • 在“概念验证”一节中,渗透测试者为所进行的漏洞利用操作给出概念验证。在大多数情况下,漏洞利用的截图或结果就足够了。例如,对于跨站脚本攻击,攻击向量和结果的屏幕截图就绰绰有余。
  • “影响范围”说明某个可能的漏洞利用将导致的影响。漏洞利用的影响总是取决于后果的严重程度。例如,登录参数的反射式跨站脚本攻击,将比搜索参数的反射式跨站脚本攻击具有更高的影响。因此,基于渗透测试环境,分析和说明攻击的影响十分重要。
  • “可能性”一节解释了漏洞利用的可能性。可能性总是取决于攻击的容易程度、公开性、可靠性和交互操作依赖程度。所谓交互操作依赖程度(interaction dependent)是指是否可以在无任何人工干预和授权的情况下执行该攻击。例如,Metasploit的任意代码执行攻击的可能性将高于提权攻击的可能性。
  • “风险评估”一节根据脆弱性、威胁、影响和攻击的可能性确定最终风险级别。在风险评估之后,渗透测试者应通过标示风险等级,编写和创建一个对应的发现问题项。
  • 在发现问题清单中指出一个漏洞,而未在“建议”章节中描述如何管理该漏洞,意味着安全评估工作只完成了一半。
在此过程结束时,应至少生成两份展示给客户的报告。其中一份报告应该在技术上更深入,针对那些主要关注风险缓解策略的员工。另一份报告则应不那么强调技术性,供高级管理人员查阅,用于商业目的和长期战略的制定。
客户可能会要求以数字形式交付报告,而不需要其他工作。客户也可能要求将正式的演示文稿交付给技术人员和管理人员。此外,客户可能会要求渗透测试者与技术人员合作,为发现的问题制定解决方案和策略。
本作品采用《CC 协议》,转载必须注明作者和本文链接
理想的光照不到现实的黑暗,明灯是黑夜中的奢侈品。如果你接受不了真实生活千疮百孔的消极,那么,请移步儿童区...
本帖由系统于 7个月前 自动加精
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!