文章來源：知了堂馮老師

有成千上萬的書籍講解什么是信息安全，什么是滲透測試，也有數不清的培訓課程視頻。但是，我敢打賭，在這些材料中，只有不到10%是在講寫報告的事情。在一個完整的滲透測試過程中，有將近一半的時間都用在了編寫報告上，這聽起來很讓人吃驚，但是也并不奇怪。

教會某人寫報告不像教會某人制作一個完美的緩沖區(qū)溢出那么有意思，大部分的滲透測試人員情愿復習19次TCP數據包結構的工作原理，也不愿意寫一份報告。不管我們的滲透測試水平多么高，想要把一個很深的技術點解釋的很通俗易懂，即使是完全不懂安全的人也可以理解，這是一件異常艱難的挑戰(zhàn)。不但得學會簡單明了的解釋滲透測試的結果，還得控制好時間。這樣做的好處很多，關系到客戶會不會不斷的采購你的服務。

舉個例子：一個模糊不清的解釋：“SSH版本應該被禁用，因為它含有高危漏洞，可能允許攻擊者在網絡上攔截和解密通信，雖然攻擊者控制網絡的風險很低，這減少了嚴重性。”

清楚的解釋：“建議在這些設備上禁用SSH，如果不這樣做，就有可能允許攻擊者在當地網絡解密和攔截通訊?！?/p>

·為什么滲透測試報告如此重要？

請謹記：滲透測試是一個科學的過程，像所有科學流程一樣，應該是獨立可重復的。當客戶不滿意測試結果時，他有權要求另外一名測試人員進行復現。如果第一個測試人員沒有在報告中詳細說明是如何得出結論的話，第二個測試人員將會不知從何入手，得出的結論也極有可能不一樣。更糟糕的是，可能會有潛在漏洞暴露于外部沒有被發(fā)現。

舉個例子：

模糊不清的描述：“我使用端口掃描器檢測到了一個開放的TCP端口。“

清晰明了的描述：“我使用Nmap 5.50，對一段端口進行SYN掃描，發(fā)現了一個開放的TCP端口。

命令是：nmap –sS –p 7000-8000“

報告是實實在在的測試過程的輸出，且是真實測試結果的證據。對客戶高層管理人員（批準用于測試的資金的人）可能對報告的內容沒有什么興趣，但這份報告是他們唯一一份證明測試費用的證據。滲透測試不像其他類型的合同項目。合同結束了，沒有搭建新的系統(tǒng)，也沒有往應用程序添加新的代碼。沒有報告，很難向別人解釋他們剛買的什么東西。

·報告給誰看？

至少有三種類型的人會閱讀你的報告：高級管理人員，IT管理和IT技術人員。

高級管理人員根本不關心，或者壓根不明白它的意思，如果支付服務器使用SSL v2加密連接。他們想知道的答案是“我們現在到底安不安全？”

IT管理對該組織的整體安全性感興趣，同時也希望確保其特定的部門在測試過程中都沒有發(fā)現任何重大問題。

我記得給三個IT經理一份特別詳細的報告。閱讀這份報告后有兩個人臉色變得蒼白，而第三個人笑著說“太好了，沒有數據庫的安全問題”。

IT人員是負責修復測試過程中發(fā)現的問題的人。他們想知道三件事：受影響系統(tǒng)的名稱，該漏洞的嚴重程度以及如何解決它。他們也希望這些信息以一種清晰而且有組織的方式呈現給他們。最好的方法是將這些信息以資產和嚴重程度來進行劃分。例如“服務器A”存在“漏洞X，Y和Z，漏洞Y是最關鍵的。這樣IT人員就可以快速的找到問題的關鍵，及時修復。

當然,你可以問你的客戶是否愿意對漏洞分組。畢竟測試是為了他們的利益，他們是付錢的人！一些客戶喜歡有個詳細說明每個漏洞的頁面，并表明受漏洞影響的資產有哪些。

雖然我已經提到了滲透測試報告三種最常見的讀者，但這并不是一個詳盡的清單。一旦報告交付給客戶，取決于他們用它干什么。它可能最終被提交給審計人員作為審計的證據。它可以通過銷售團隊呈現給潛在客戶。

任何人都可以說自己的產品是安全的，但他們可以證明這一點？我們可以看看這里的滲透測試報告。

報告甚至可能最終共享給整個組織。這聽起來很瘋狂，但它確實發(fā)生過。我執(zhí)行一次社會工程學測試，其結果低于客戶的期望。被觸怒的CEO將報告?zhèn)鬟f給整個組織，作為提高防范社會工程攻擊意識的一種方式。更有趣的是，幾周后當我訪問同一個公司做一些安全意識的培訓。我在自我介紹時說，我就是之前那個負責社工測試的人。憤怒的目光，嘲諷的語氣，埋怨我給他們所有人帶來多少麻煩。我的內心毫無波動，答道：“把密碼給我總比給真正的黑客好?！?/p>

·報告應該包含什么？

有時候你會很幸運的看到，客戶在項目計劃之初就表明他們想要的報告內容。甚至有一些更為細小的要求，比如，字體大小和線間距等。但是這只是少數，大部分客戶還是不知道最終要什么結果，所以下面給出一般報告的撰寫程序。

1、準備好滲透測試記錄

測試記錄是執(zhí)行過程的日志，在每日測試工作結束后，應將當日的成果做成記錄，雖然內容不必太過細致，但測試的重點必須記錄在案：

·擬檢測的項目

·使用的工具或方法

·檢測過程描述

·檢測結果說明

·過程的重點截圖(有結果的畫面)

2、撰寫滲透測試報告書

報告書是整個測試測試操作結果的匯總，大概會以下列大綱撰寫：

前言：說明執(zhí)行測試的目的

聲明：依照滲透測試同意書協(xié)商事項，列舉于此，通常作為乙方的免責聲明。

摘要：將本次滲透測試所發(fā)現的弱點及漏洞做一個匯總性的說明，如果系統(tǒng)又良好的防護機制，亦可書寫于此，提供給甲方的其他網站系統(tǒng)作為管理參考。

執(zhí)行方式：“大致”說明測試的方法論、測試的方法、執(zhí)行時間以及測試的評定方式，評定方式是雙方約定的條件為準，例如：發(fā)現中高風險項目、能提權成功、能完成插旗(即在目標網站中上傳指定的文件或修改網頁內容)、中斷系統(tǒng)服務……

執(zhí)行過程說明：依照雙方議定的項目，說明測試“結果”，不論可以滲透成功或無法成功，都應說明執(zhí)行的程序。

通常標注“詳細執(zhí)行步驟，如《滲透測試記錄表》”，以便滲透測試記錄表引入報告書中，并列出本次操作對風險高低的評定說明，例如：測試完成后，乙方人員針對所有測試目標評定其風險等級，以該測試目標所造成的沖擊程度及發(fā)生的可能性作為因子，相乘得出風險等級，評定如下：

發(fā)現事項與建議改善說明：這是整份報告書中最重要的部分，任何滲透測試都必須提供客戶防護或弱點修正建議，其實只要能界定弱點的類型即可，因為防護建議內容通過搜索都可查到，所以本節(jié)最好能詳細說明建議內容，以提高客戶的滿意度。

附件或參考文件(如無，可以省略)：有些公司會將小組成員的資歷列在此處，以供甲方參考。

附：

報告書的撰寫建議

一份好的報告可以為測試操作加分，一份不好的報告會毀了測試人員的努力，所以撰寫滲透測試報告不可太隨便，以下提供三個撰寫要領，以供參考。

·重點

報告書的讀者有兩類：一類是主管，主管有決策權，但通常沒有耐心查看技術文件，報告書最好一開始就節(jié)選所發(fā)現的“重點漏洞”，這些重點漏洞要用直白的話寫，讓主管一目了然，翻開報告書就能夠感受到滲透測試的價值；另一類是系統(tǒng)負責人( 經辦人員)，他們在意的是漏洞或弱點要如何修補，對修補建議最好言之有物，并附上修補范例。

至于描述執(zhí)行過程說明文字則可以詳細些，尤其是專業(yè)術語的說明，用以展現測試團隊技術的“高深”，不過自己沒有把握解釋清楚的術語就不要寫進去了，免得弄巧成拙，雖然這一部分看的人不多，但是可以增加報告書的版本分量。

·圖表重于文字

想要提示客戶重視的地方，盡量附圖佐證，數據對比或匯總，可采用列表或表格式編排，讓閱讀報告的人感覺條理清晰、言之有物，避免造成抓不到重點的遺憾。

·結果與建議

測試結果、弱點、漏洞務必要提出來，并給予修正建議，在測試過程中如果受測系統(tǒng)設置了不錯的防護機制，也可以將該方式列入報告中，以供客戶的其他系統(tǒng)參考。