banner
lca

lca

真正的不自由,是在自己的心中设下牢笼。

编写高质量的报告

bg_bggenerator_com

前言#

个人经验来看,渗透测试报告分两类,一类是简单的报告,简要汇总漏洞内容,这种报告都是技术性东西,不适合领导看,一类是复杂且正式的报告,可用来做项目汇总及验收盖章用的报告。

之前看到这篇文章,写了如何编写高质量报告规范,针对国外的渗透测试报告,总结了下内容,附件中还有其他的报告有很多,可以​去借鉴借鉴。

简单报告#

名称描述
摘要漏洞介绍,提供对问题及其范围的简要描述
影响漏洞危害
复现步骤复现流程,包括屏幕截图、http 请求、poc 或 exp 等
建议修复建议
参考资料一般不加

漏洞评分及漏洞危害等级一般体现危害等级,分别识信息、低、中、高等。

正式报告#

这篇报告根据securitum-protonmail-security-audit​进行总结,比较接地气一点,附件的链接还有很多,有兴趣可以看看

一、总结(工作、渗透)

  • 测试范围
  • 测试方法(OWASP TOP10、OWASP ASVS)
  • 发现的漏洞

在测试过程中,特别强调可能对处理的数据的机密性、完整性或可用性产生负面影响的漏洞。

作为测试的一部分,使用基于手动测试的方法(使用上述方法论)并辅以多种自动化工具进行了测试,其中包括 Burp Suite Professional、DirBuster、ffuf、nmap、Visual Studio Code、semgrep、grep 和 sonarqube。

漏洞在报告的后续部分中详细描述。


== 漏洞风险等级:==

漏洞按照五级评分进行分类,反映了漏洞被利用的概率和其利用所带来的业务风险。以下是每个严重程度级别的简要描述含义。

  • 严重
  • 高危
  • 中危
  • 低危
  • 信息

漏洞统计:

图形化展示

image


二、版本修改记录

  • 时间
  • 版本
  • 修改描述

三、漏洞复现过程记录

  • 漏洞名称
    • 漏洞描述
    • 攻击的先决条件
    • 技术详情(POC)
    • 漏洞位置
    • 修复建议

学习到的内容

在写报告的时候,建议使用被动语态,而不使用第一人称。

当你写修复建议的时候,一般可以以建议开头,而不是说有那种强制性按此方法去修复漏洞。

国外的报告和我们的报告一比较,有一个地方不同的是,最终总结的位置不同,国外的喜欢把总结放在开头,我们喜欢放在结尾,有些时候也会放在开头去总结。

在漏洞复现处,国外的很详细,信息类的漏洞也会写出来,漏洞修复建议贴近系统,而不是通用的解决建议。

以攻击者和受害者的角度去复现漏洞场景,别人一眼就可以看懂,相比国内的那些漏洞通报,图都不给你,只给文字和链接说明,要看懂这个漏洞没点功底真的会看不懂。

国外的还会对漏洞进行编号,感觉是按项目名称来编号的,这样可以明确的区分这些漏洞。

编写报告其实没太多技术活,但你要让别人看得懂,写出一份质量高的报告比较难,笔者有过这种经历,一份报告根据客户的意见改了 5-6 遍才满意,报告本身也是流程性的,只要弄出模板根据模板改其他人改就行。有些则是提交 src 的报告,这种报告简单报告就行。

参考:best-practices-for-writing-quality-vulnerability-reports

其他的一些报告参考:更多渗透测试报告

加载中...
此文章数据所有权由区块链加密技术和智能合约保障仅归创作者所有。