渗透测试报告的编写

渗透测试工作内容
1.自己企业直招的安全工程，针对自身企业业务的安全维护加固。
2.乙方公司:测评机构，安全厂商。针对甲方企业进行安全防护测试，撰写报告。
渗透测试的流程
明确目标
信息收集
漏洞探测
漏洞验证
信息分析
获取所需
信息整理
形成报告
立项会议确定目标和信息
明确目标:
1.确定范围：测试的目标的范围，ip、域名、内外网
2.确定规则：
渗透测试和黑客入侵区别?
渗透测试：以黑客的角度，模拟攻击，处于保护目的，更全面的发现测试对象的安全隐患
黑客:不择手段的进行攻击，从而获取非法收益。
规则内容:能渗透到什么程度? 确定攻击时间? 可以采取哪些攻击手段?
3.确定需求: web应用漏洞? 业务逻辑漏洞? 人员管理权限漏洞?
信息收集
攻击方式:主动扫描?开放式的搜索?
基础信息: IP，业务架构，域名，端口
各种系统依赖的版本信息
应用信息:涉及到的服务信息，各应用逻辑
漏洞探索
通过扫描器，结合漏洞在db查利用
漏洞验证
自动化验证:通过工具进行验证
手动验证
暴力破解
信息分析
为下一步渗透做准备
进准打击、绕过机制、攻击代码
获取所需
进行攻击、脱库、持续性存在、清理痕迹。
信息整理
整理整个渗透过程中的工具、收集到的结果信息、漏洞信息。
形成报告
核心内容:
1.提出漏洞存在信息
2.漏洞出现的原理
3.通过什么方式可以利用
4.给出整改建议
总结：
渗透测试时长最少要两到三天，一般是分好几次测试，处置建议最好是根据漏洞的相关情况给出
渗透测试只是一个小的环节，之所以会有渗透测试是因为等保，渗透测试只是等保的一部分，渗透测试是实现等保测试的一个手段