支援資訊是所有有助於解釋漏洞利用的資訊,但對於漏洞利用的報告和修復資訊不應直接依賴於該資訊。
以下資訊可以作為支援資料包含在報告中。
方法學
在本節中,列出測試中使用的方法學。例如,可以在此引用滲透測試執行標準
工具
在本節中列出測試中使用的所有工具。本章說明了用於該漏洞評估專案的資源量。
附錄
報告的主要目的是展示滲透測試者進行的所有工作,以及破解客戶的安全體系的成功成都。報告描述客戶環境中的漏洞,以及他們應該才去的行動。但有時可能希望給出更為一般性和詳細的解釋——附錄就是用於此目的。附錄包含與漏洞利用相關的附加資訊,但是這些說明並非必須閱讀,且不應該直接基於測試環境。附錄用於闡述ACK/NULL/FIN和Xmas掃描,介紹有關埠掃描的更多詳細資訊,但漏洞修復措施不應基於此假定性資訊。
參考
有時會發現難以演示某種攻擊。在這種情況下,可以引用其他研究人員的工作作為參考。你的時間不是無限的,無法寫出每一個細節,但你可以透過引用參考資訊,給出一個真實的漏洞利用場景。
術語表
滲透測試報告是一套完整的技術流程的成果,這套流程經常使用高度技術性的名詞。為便於管理人員,應在報告末尾製作一份術語表,給所有術語下一個簡單的定義。
本作品採用《CC 協議》,轉載必須註明作者和本文連結