記學習滲透測試之報告測試引數一
working發表於2021-12-24
報告的第一部分應該是規劃階段或章節。在撰寫報告時,滲透測試者將使用本部分作為報告其餘部分的基礎,同時向客戶傳達一些需要預先了解的要點
在實踐中,這一階段的主要重點是確定一套能夠有效表達客戶方公司聯絡點與滲透測試者之間的交流文件規範,主要關注以下一些關鍵點:
- 目標(objectives)
- 受眾(audience)
- 時間(time)
- 密級(classification)
- 分發(distribution)
這是規劃階段中最為基本的五點,接下來一一闡述他們。
目標
目標是專案開始時規劃階段的一個重點。在此階段中,滲透測試者將決定測試專案的集體目標以及需要記錄的內容。
可將文件或報告的目標部分視為一份後續部分的執行綱要。該部分旨在幫助受眾獲得對專案的宏觀瞭解。目標部分提供了一份對專案、專案目標、專案的總體範圍以及本報告如何幫助實現這些目標的簡單概覽。
受眾
明確報告的受眾是至關重要的,因為這樣做可以有的放矢,確保合適的人讀到報告,並且這些人員能夠充分理解報告以利用其中的資訊。閱讀滲透測試報告的人員可能十分廣泛,從首席資訊保安官員到執行長(CEO),以及客戶組織內任意數量的技術和行政人員。對於報告的目標群體不僅應在撰寫文件時考慮,還要在交付文件時考慮,以確保將結果交付到合適的人手中:可以充分利用該文件的人員。編寫完報告後,至關重要的是確保報告按照一種本部分中明確的受眾能夠理解和利用其內容的方式進行構建。
時間
文件的該部分確定了測試的時間表。應包括測試的開始時間和結束時間。另外,如果不是全天候進行測試,還應包括一天中進行測試的具體是時間。該時間描述將有助於確定測試達到了預期目標,並在理想的或能夠最好地反應特定運營的條件下進行
密級
由於滲透猜測是包含高度敏感的資訊,例如安全缺陷、漏洞、認證和系統資訊,應將報告的密級定為極其敏感。滲透測試者還應確保總是將報告交給客戶所指定的負責人。
應在專案開始時與聯絡人討論專案和報告的密級,以確保不將保密資訊洩露給未經授權的人員。滲透測試者還應討論如何在報告中記錄保密資訊。
在當今的環境中,由於便捷性且具備額外的安全手段,許多客戶都選擇以數字方式、而非傳統的印刷品形式分發報告。如果客戶需要數字格式報告,請確保使用諸如數字簽名和加密等安全措施,以確保報告始終未被篡改並保密。
分發
報告的分發管理對於確保將報告在正確的時間內提交給授權人員起著重要的作用。
本作品採用《CC 協議》,轉載必須註明作者和本文連結
理想的光照不到現實的黑暗,明燈是黑夜中的奢侈品。如果你接受不了真實生活千瘡百孔的消極,那麼,請移步兒童區...