滲透測試
資安服務的一種,協助企業針對系統與網站確認是否有漏洞,並在測試之後提供一份報告。
目的
滲透測試報告的目的是總結測試過程中發現的漏洞,與提供改進建議,以幫助客戶提高網站/系統的安全性
常見大綱
- 封面和版權聲明
- 包括報告的名稱、撰寫日期、版本和撰寫者資訊。
- 客戶名稱、本次標的
- 摘要
- 簡要概述測試的目的、範圍、方法和主要發現。
- 目的和範圍
- 詳細說明本次滲透測試的目的、範圍和客戶的需求。
- 測試方法和流程
- 描述在測試過程中使用的技術、方法和工具,例如掃描工具、依據規範、檢查項目等。
- 時程表,何時開始掃描、開始檢測。
- 發現的漏洞和風險評估
- 列出測試過程中發現的所有漏洞,並根據其嚴重性、影響範圍和風險評估對其進行分類和排序。
- 每個漏洞應包括以下信息:
- 漏洞名稱和描述
- 漏洞種類
- 嚴重性評分(如 CVSS 評分系統)
- 影響的系統或元件
- 測試過程中的過程與截圖
- 潛在的風險和影響
- 修復建議和策略
- 针對每個發現的漏洞,提供具體的修復建議和策略。
- 強化的方向,如設定等。
- 結論
- 總結整個滲透測試的過程和結果,強調最重要的發現和建議。
- 附件和參考資料
- 提供相關的技術資料、截圖、日誌檔案等,以供客戶參考。