每一份報告中都有關於該文件結構和格式的重要資訊。
報告檔案應具有以下結構
- 報告封面頁
- 報告屬性
- 報告索引
- 行動綱要(executive summary)
- 發現問題的清單
- 發現問題的詳情說明
應當做好花費大量時間編制該文件的準備。下面介紹其基本要點。
報告封面頁
這是報告的第一頁,提供有關該專案的基本資訊。典型的封面應包括以下內容:
- 專案標題
- 客戶名稱
- 報告版本
- 作者資訊
- 日期
報告屬性
第二頁提供參與專案人員的更多有關資訊。本頁面將提供以下資訊:
- 客戶資訊
- 測試公司的資訊
- 滲透測試者的資訊
- 有關參與專案的其他人的資訊
報告索引
本節有目錄和圖片組成,以便於查閱報告內容:
- 目錄中列出了主要標題以及頁碼。下級標題也將列出,但不必包括頁碼。
- 圖目錄列出了報告中使用的所有影像及其標題和頁碼。
行動綱要
“行動綱要”部分應在專案完成後編寫,目的是簡要說明滲透測試過程。本節專業高層員工而設計。他用簡短的文字描述了測試中使用的方法、發現的重大問題和組織的安全級別。
- “專案目標”部分包括執行滲透測試的目標,以及測試如何幫助實現這些目標。
- “專案範圍”部分透過清晰描述所執行滲透測試的邊界,說明專案的許可和限制。該部分包括待測試目標系統的相關資訊;基於預算和時間的分配,選定的滲透測試的型別和深度;專案的限制(例如某些拒絕服務測試是禁止的,或者只能在工作時間開展滲透測試之類具體的限制)及其影響。
- “授權”部分提供有關進行滲透測試的許可資訊。在得到客戶端和第三方服務提供商的適當書面授權,不得開始測試。該資訊應在報告中記錄。
- 所有滲透測試者所做的假定應均在報告中明確提及,因為這樣做可以幫助客戶理解測試過程中採取行動的理由。滲透測試是一個侵入性的過程,因此描述清楚每一個假定,能夠保護滲透測試者。
- “時間表”部分使用時間術語說明滲透測試過程在時間上的生命週期。本節包括測試過程持續階段,以及對目標進行測試的時間。由於本節明確宣告所有的發現都是在所描述的時間段內得到的,在之後出現新漏洞時可以幫助滲透測試者(任何配置更改都不是滲透測試者的責任)。
- “滲透測試摘要”描述發現的重大和中等問題,給出一份簡單的滲透測試過程技術概述。摘要應該只報告重要的發現,並在一個單句中描述。本節還介紹了滲透測試所用的方法學。
發現問題清單
在“發現問題清單”章節中,所有級別的發現都以表格形式記錄,以提供可快速查閱的系統安全漏洞相關資訊。問題清單可依據進行的測試進行劃分。也就是說,如果針對web應用程式、IT基礎架構和移動應用程式進行了測試,則可以為每個被測環境製作單獨的問題清單。如果進行了大規模的IT基礎架構測試,那麼可以只做一個僅包括高階和中級漏洞的較小問題清單,並將完整清單納入對應章節中。
發現問題詳情說明
“發現問題詳情說明”章節包含了修復建議。該章節將由直接處理IT/資訊保安和IT運營的人員閱讀。所以,滲透測試者可以自由使用技術名詞描述和漏洞相關的各種資訊。該章節包括以下詳細資訊:
- 在“漏洞定義”一節中,透過提供有關漏洞的詳細資訊,給出所進行的漏洞利用操作的基礎資訊。說明資訊應直接基於滲透測試者工作的環境。滲透測試者可以推薦一個附錄和引用文獻章節,用於收集更多資訊。
- 在“脆弱性”一節中,滲透測試者應該透過重點描述環境,描述脆弱性的根本原因。例如,對於登陸頁面中存在sql注入漏洞的情況,滲透測試者應指出使用者名稱欄位對某些型別的sql注入攻擊是脆弱的,並列舉出這些型別,而不是僅僅提供一個“登入頁面易受sql攻擊”的粗略說法,並將問題留給客戶。
- 在“概念驗證”一節中,滲透測試者為所進行的漏洞利用操作給出概念驗證。在大多數情況下,漏洞利用的截圖或結果就足夠了。例如,對於跨站指令碼攻擊,攻擊向量和結果的螢幕截圖就綽綽有餘。
- “影響範圍”說明某個可能的漏洞利用將導致的影響。漏洞利用的影響總是取決於後果的嚴重程度。例如,登入引數的反射式跨站指令碼攻擊,將比搜尋引數的反射式跨站指令碼攻擊具有更高的影響。因此,基於滲透測試環境,分析和說明攻擊的影響十分重要。
- “可能性”一節解釋了漏洞利用的可能性。可能性總是取決於攻擊的容易程度、公開性、可靠性和互動操作依賴程度。所謂互動操作依賴程度(interaction dependent)是指是否可以在無任何人工干預和授權的情況下執行該攻擊。例如,Metasploit的任意程式碼執行攻擊的可能性將高於提權攻擊的可能性。
- “風險評估”一節根據脆弱性、威脅、影響和攻擊的可能性確定最終風險級別。在風險評估之後,滲透測試者應透過標示風險等級,編寫和建立一個對應的發現問題項。
- 在發現問題清單中指出一個漏洞,而未在“建議”章節中描述如何管理該漏洞,意味著安全評估工作只完成了一半。
在此過程結束時,應至少生成兩份展示給客戶的報告。其中一份報告應該在技術上更深入,針對那些主要關注風險緩解策略的員工。另一份報告則應不那麼強調技術性,供高階管理人員查閱,用於商業目的和長期戰略的制定。
客戶可能會要求以數字形式交付報告,而不需要其他工作。客戶也可能要求將正式的簡報交付給技術人員和管理人員。此外,客戶可能會要求滲透測試者與技術人員合作,為發現的問題制定解決方案和策略。
本作品採用《CC 協議》,轉載必須註明作者和本文連結