[資安服務] 005 滲透測試報告撰寫

滲透測試

資安服務的一種，協助企業針對系統與網站確認是否有漏洞，並在測試之後提供一份報告。

目的

滲透測試報告的目的是總結測試過程中發現的漏洞，與提供改進建議，以幫助客戶提高網站/系統的安全性

常見大綱

1. 封面和版權聲明
   • 包括報告的名稱、撰寫日期、版本和撰寫者資訊。
   • 客戶名稱、本次標的
2. 摘要
   • 簡要概述測試的目的、範圍、方法和主要發現。
3. 目的和範圍
   • 詳細說明本次滲透測試的目的、範圍和客戶的需求。
4. 測試方法和流程
   • 描述在測試過程中使用的技術、方法和工具，例如掃描工具、依據規範、檢查項目等。
   • 時程表，何時開始掃描、開始檢測。
5. 發現的漏洞和風險評估
   • 列出測試過程中發現的所有漏洞，並根據其嚴重性、影響範圍和風險評估對其進行分類和排序。
   • 每個漏洞應包括以下信息：
     • 漏洞名稱和描述
     • 漏洞種類
     • 嚴重性評分（如 CVSS 評分系統）
     • 影響的系統或元件
     • 測試過程中的過程與截圖
     • 潛在的風險和影響
6. 修復建議和策略
   • 针對每個發現的漏洞，提供具體的修復建議和策略。
   • 強化的方向，如設定等。
7. 結論
   • 總結整個滲透測試的過程和結果，強調最重要的發現和建議。
8. 附件和參考資料
   • 提供相關的技術資料、截圖、日誌檔案等，以供客戶參考。