29天啦!go go 最後衝刺
昨天說了一個滲透測試報告裡面需要有什麽東西,今天就來寫一篇類滲透測試報告吧,至於爲什麽是類而不是完整的報告我昨天有解釋過了,這邊就不再贅述
基本上這邊會放一些很正式又官腔的説明,不過我們是自己土炮,就寫的簡略一些就好,那基本上我們測試過後掃出來的弱點會先放在這裡,那就把我們發現的弱點放上來吧
那由於我們進行測試的是一個公開的測試網站,所以把相關網址放在這裡就好,如果是外面的滲透測試報告的話就要詳細的把完整地測試範圍列出來,簡單來説就是哪裡可以打哪裡不能碰要搞清楚,不然亂尻可能就是法院見了ww
測試網址:https://testphp.vulnweb.com/
這裡的話就是把你想要對受測方做的操作列出來給看這份報告的人開,像是我們的報告裡面就會放以下的東西:
檢測測試對象是否具有 SQLi、XSS 及其他手段可利用的漏洞
反正就是打了什麽在這裡就實話實説,就算是一開始推測的漏洞是無效的也都寫清楚
這邊就簡單提一下你用了什麽工具,而不是直接寫你打的過程這個是許需要注意的地方
就是把你打的過程寫下來,那我前幾天的文章就把過程全部講完了,所以這邊也不多說,然後要附上圖片來説明你的漏洞,然後對你打出來的漏洞進行分析,就像昨天提到的按嚴重性進行分類,例如高、中、低風險。然後寫一些簡單的修補建議
這裡就是針對上面提到的漏洞進行一個總體性的改善建議,主要還是提供修補漏洞的方法以及進一步的優化之類的東西
接著就是昨天提到的最後兩項的部分,那兩個在自己測試的時候都是可放可不放的東西,畢竟自己做了也是自己看XD,那我這邊也是附上我剛開始接觸做滲透測試時做的報告,是同一個網站產的報告所以東西都是重複的,但是就讓你們看一下我之前寫的東西到底有多鳥,有興趣的話可以點進去看看
https://hackmd.io/@RWeng/pttest