[資安服務] 005 滲透測試報告撰寫

滲透測試

資安服務的一種,協助企業針對系統與網站確認是否有漏洞,並在測試之後提供一份報告。

目的

滲透測試報告的目的是總結測試過程中發現的漏洞,與提供改進建議,以幫助客戶提高網站/系統的安全性

常見大綱

  1. 封面和版權聲明
    • 包括報告的名稱、撰寫日期、版本和撰寫者資訊。
    • 客戶名稱、本次標的
  2. 摘要
    • 簡要概述測試的目的、範圍、方法和主要發現。
  3. 目的和範圍
    • 詳細說明本次滲透測試的目的、範圍和客戶的需求。
  4. 測試方法和流程
    • 描述在測試過程中使用的技術、方法和工具,例如掃描工具、依據規範、檢查項目等。
    • 時程表,何時開始掃描、開始檢測。
  5. 發現的漏洞和風險評估
    • 列出測試過程中發現的所有漏洞,並根據其嚴重性、影響範圍和風險評估對其進行分類和排序。
    • 每個漏洞應包括以下信息:
      • 漏洞名稱和描述
      • 漏洞種類
      • 嚴重性評分(如 CVSS 評分系統)
      • 影響的系統或元件
      • 測試過程中的過程與截圖
      • 潛在的風險和影響
  6. 修復建議和策略
    • 针對每個發現的漏洞,提供具體的修復建議和策略。
    • 強化的方向,如設定等。
  7. 結論
    • 總結整個滲透測試的過程和結果,強調最重要的發現和建議。
  8. 附件和參考資料
    • 提供相關的技術資料、截圖、日誌檔案等,以供客戶參考。
飛飛
飛飛