記學習滲透測試之報告測試引數三

working發表於2022-01-28
系列文章
記學習滲透測試之情報收集 記學習滲透測試之掃描埠 記學習滲透測試之識別作業系統 記學習滲透測試之漏洞掃描簡述 記學習滲透測試之代理伺服器(保持低調) 記學習滲透測試之列舉 記學習滲透測試之漏洞掃描一 記學習滲透測試之漏洞掃描二 記學習滲透測試之破解密碼一 記學習滲透測試之破解密碼二 記學習滲透測試之使用後門和惡意軟體保持訪問權一 記學習滲透測試之使用後門和惡意軟體保持訪問權二 記學習滲透測試之使用後門和惡意軟體保持訪問權三 記學習滲透測試之使用後門和惡意軟體保持訪問權四 記學習滲透測試之使用後門和惡意軟體保持訪問權五 記學習滲透測試之報告測試引數一 記學習滲透測試之報告測試引數二 記學習滲透測試之報告測試引數三 記學習滲透測試之報告測試引數四 滲透測試學習之報告測試引數五 滲透測試學習之應對安防和檢測系統一 滲透測試學習之應對安防和檢測系統二 滲透測試學習之應對安防和檢測系統三 滲透測試學習之應對安防和檢測系統四 滲透測試學習之應對安防和檢測系統五 滲透測試學習之隱藏蹤跡與規避檢測一 滲透測試學習之隱藏蹤跡與規避檢測二 滲透測試學習之隱藏蹤跡與規避檢測三 滲透測試學習之隱藏蹤跡與規避檢測四 滲透測試學習之隱藏蹤跡與規避檢測五 滲透測試學習之隱藏蹤跡與規避檢測六 滲透測試學習之隱藏蹤跡與規避檢測七 滲透測試學習之隱藏蹤跡與規避檢測八 滲透測試學習之隱藏蹤跡與規避檢測九 滲透測試學習之隱藏蹤跡與規避檢測十 滲透測試學習之探測和攻擊無線網路一 滲透測試學習之探測和攻擊無線網路一 滲透測試學習之探測和攻擊無線網路二 滲透測試學習之探測和攻擊無線網路三 滲透測試學習之探測和攻擊無線網路四 滲透測試學習之探測和攻擊無線網路五 滲透測試學習之探測和攻擊無線網路六 滲透測試學習之探測和攻擊無線網路七 滲透測試學習之探測和攻擊無線網路八 滲透測試學習之探測和攻擊無線網路九 滲透測試學習之探測和攻擊無線網路十 滲透測試學習之探測和攻擊無線網路十一

每一份報告中都有關於該文件結構和格式的重要資訊。

報告檔案應具有以下結構
  • 報告封面頁
  • 報告屬性
  • 報告索引
  • 行動綱要(executive summary)
  • 發現問題的清單
  • 發現問題的詳情說明

應當做好花費大量時間編制該文件的準備。下面介紹其基本要點。

報告封面頁

這是報告的第一頁,提供有關該專案的基本資訊。典型的封面應包括以下內容:
  • 專案標題
  • 客戶名稱
  • 報告版本
  • 作者資訊
  • 日期

報告屬性

第二頁提供參與專案人員的更多有關資訊。本頁面將提供以下資訊:
  • 客戶資訊
  • 測試公司的資訊
  • 滲透測試者的資訊
  • 有關參與專案的其他人的資訊

報告索引

本節有目錄和圖片組成,以便於查閱報告內容:
  • 目錄中列出了主要標題以及頁碼。下級標題也將列出,但不必包括頁碼。
  • 圖目錄列出了報告中使用的所有影像及其標題和頁碼。

行動綱要

“行動綱要”部分應在專案完成後編寫,目的是簡要說明滲透測試過程。本節專業高層員工而設計。他用簡短的文字描述了測試中使用的方法、發現的重大問題和組織的安全級別。
  • “專案目標”部分包括執行滲透測試的目標,以及測試如何幫助實現這些目標。
  • “專案範圍”部分透過清晰描述所執行滲透測試的邊界,說明專案的許可和限制。該部分包括待測試目標系統的相關資訊;基於預算和時間的分配,選定的滲透測試的型別和深度;專案的限制(例如某些拒絕服務測試是禁止的,或者只能在工作時間開展滲透測試之類具體的限制)及其影響。
  • “授權”部分提供有關進行滲透測試的許可資訊。在得到客戶端和第三方服務提供商的適當書面授權,不得開始測試。該資訊應在報告中記錄。
  • 所有滲透測試者所做的假定應均在報告中明確提及,因為這樣做可以幫助客戶理解測試過程中採取行動的理由。滲透測試是一個侵入性的過程,因此描述清楚每一個假定,能夠保護滲透測試者。
  • “時間表”部分使用時間術語說明滲透測試過程在時間上的生命週期。本節包括測試過程持續階段,以及對目標進行測試的時間。由於本節明確宣告所有的發現都是在所描述的時間段內得到的,在之後出現新漏洞時可以幫助滲透測試者(任何配置更改都不是滲透測試者的責任)。
  • “滲透測試摘要”描述發現的重大和中等問題,給出一份簡單的滲透測試過程技術概述。摘要應該只報告重要的發現,並在一個單句中描述。本節還介紹了滲透測試所用的方法學。

發現問題清單

在“發現問題清單”章節中,所有級別的發現都以表格形式記錄,以提供可快速查閱的系統安全漏洞相關資訊。問題清單可依據進行的測試進行劃分。也就是說,如果針對web應用程式、IT基礎架構和移動應用程式進行了測試,則可以為每個被測環境製作單獨的問題清單。如果進行了大規模的IT基礎架構測試,那麼可以只做一個僅包括高階和中級漏洞的較小問題清單,並將完整清單納入對應章節中。

發現問題詳情說明

“發現問題詳情說明”章節包含了修復建議。該章節將由直接處理IT/資訊保安和IT運營的人員閱讀。所以,滲透測試者可以自由使用技術名詞描述和漏洞相關的各種資訊。該章節包括以下詳細資訊:
  • 在“漏洞定義”一節中,透過提供有關漏洞的詳細資訊,給出所進行的漏洞利用操作的基礎資訊。說明資訊應直接基於滲透測試者工作的環境。滲透測試者可以推薦一個附錄和引用文獻章節,用於收集更多資訊。
  • 在“脆弱性”一節中,滲透測試者應該透過重點描述環境,描述脆弱性的根本原因。例如,對於登陸頁面中存在sql注入漏洞的情況,滲透測試者應指出使用者名稱欄位對某些型別的sql注入攻擊是脆弱的,並列舉出這些型別,而不是僅僅提供一個“登入頁面易受sql攻擊”的粗略說法,並將問題留給客戶。
  • 在“概念驗證”一節中,滲透測試者為所進行的漏洞利用操作給出概念驗證。在大多數情況下,漏洞利用的截圖或結果就足夠了。例如,對於跨站指令碼攻擊,攻擊向量和結果的螢幕截圖就綽綽有餘。
  • “影響範圍”說明某個可能的漏洞利用將導致的影響。漏洞利用的影響總是取決於後果的嚴重程度。例如,登入引數的反射式跨站指令碼攻擊,將比搜尋引數的反射式跨站指令碼攻擊具有更高的影響。因此,基於滲透測試環境,分析和說明攻擊的影響十分重要。
  • “可能性”一節解釋了漏洞利用的可能性。可能性總是取決於攻擊的容易程度、公開性、可靠性和互動操作依賴程度。所謂互動操作依賴程度(interaction dependent)是指是否可以在無任何人工干預和授權的情況下執行該攻擊。例如,Metasploit的任意程式碼執行攻擊的可能性將高於提權攻擊的可能性。
  • “風險評估”一節根據脆弱性、威脅、影響和攻擊的可能性確定最終風險級別。在風險評估之後,滲透測試者應透過標示風險等級,編寫和建立一個對應的發現問題項。
  • 在發現問題清單中指出一個漏洞,而未在“建議”章節中描述如何管理該漏洞,意味著安全評估工作只完成了一半。
在此過程結束時,應至少生成兩份展示給客戶的報告。其中一份報告應該在技術上更深入,針對那些主要關注風險緩解策略的員工。另一份報告則應不那麼強調技術性,供高階管理人員查閱,用於商業目的和長期戰略的制定。
客戶可能會要求以數字形式交付報告,而不需要其他工作。客戶也可能要求將正式的簡報交付給技術人員和管理人員。此外,客戶可能會要求滲透測試者與技術人員合作,為發現的問題制定解決方案和策略。
本作品採用《CC 協議》,轉載必須註明作者和本文連結
理想的光照不到現實的黑暗,明燈是黑夜中的奢侈品。如果你接受不了真實生活千瘡百孔的消極,那麼,請移步兒童區...

相關文章