網(wǎng)站安全滲透測(cè)試報(bào)告模板的一些經(jīng)驗(yàn)總結(jié)

時(shí)間：2022-07-24 01:36:01 | 來(lái)源：建站知識(shí)

時(shí)間：2022-07-24 01:36:01 來(lái)源：建站知識(shí)

網(wǎng)站滲透測(cè)試服務(wù)在給客戶(hù)寫(xiě)報(bào)告模板或者檢查表的時(shí)候，應(yīng)逐步完善。寫(xiě)報(bào)告在滲透測(cè)試中耗費(fèi)大量的時(shí)間和精力?；ㄙM(fèi)的時(shí)間取決于客戶(hù)和經(jīng)理期望的交付成果。(中文大概意思是客戶(hù)和老板能不能看懂你的報(bào)告)獎(jiǎng)勵(lì)項(xiàng)目報(bào)告通常比滲透測(cè)試報(bào)告短，但是無(wú)論什么格式，您都將受益于為每個(gè)文檔和測(cè)試類(lèi)型創(chuàng)建模板(黑盒、白盒、Web、網(wǎng)絡(luò)、wifi)。

理想情況下，您的滲透測(cè)試模板應(yīng)包括:通常測(cè)試的測(cè)試列表。有時(shí)候客戶(hù)會(huì)問(wèn)這個(gè)，提前做好準(zhǔn)備。每種漏洞類(lèi)型的結(jié)果和解決方案(XSS、CSRF、XXE……)報(bào)告的基本大綱(主要大綱和頁(yè)碼)我曾經(jīng)做過(guò)一個(gè)月的任務(wù)，其中滲透測(cè)試的實(shí)際時(shí)間不超過(guò)一周。我們被要求寫(xiě)、描述和重寫(xiě)報(bào)告五六次。

還遇到一個(gè)長(zhǎng)期客戶(hù)，讓我提供測(cè)試的詳細(xì)信息，包括陰性測(cè)試結(jié)果(比如沒(méi)有發(fā)現(xiàn)漏洞時(shí)工具的輸出和證明)。提前創(chuàng)建模板并要求經(jīng)理和客戶(hù)提前驗(yàn)證可以為我們節(jié)省大量的任務(wù)時(shí)間。研究自動(dòng)化會(huì)節(jié)省你很多時(shí)間。盡可能多的自動(dòng)化測(cè)試。它將為您節(jié)省復(fù)雜任務(wù)的時(shí)間，并用于測(cè)試更復(fù)雜和邏輯錯(cuò)誤，這些錯(cuò)誤只能手動(dòng)找到。使用熟悉的編程語(yǔ)言，包括但不限于Python、Perl、Bash…可以完全自定義腳本，但不必自己重寫(xiě)。您可以重新開(kāi)發(fā)其他現(xiàn)有的自動(dòng)化項(xiàng)目。

此自動(dòng)化是您想要編寫(xiě)的項(xiàng)目，例如:-測(cè)試SSL/TLS、FTP、SSH，輸出漂亮的滲透測(cè)試報(bào)告。-使用多種成熟的工具查找子域。-文件和目錄暴力。此外，使用Burp入侵模塊和BurpAPI測(cè)試Web漏洞，如開(kāi)放重定向、基本認(rèn)證暴力、IDOR等。以上是高級(jí)黑客的幾個(gè)指南！如果你能從這些技能中學(xué)到一些東西，請(qǐng)與你的朋友分享，這樣你的朋友也可以從中受益。如果想要更豐富的滲透測(cè)試報(bào)告的話(huà)可以向國(guó)內(nèi)的SINESAFE,鷹盾安全，綠盟，啟明星辰尋求服務(wù)。