渗透测试报告是渗透测试过程中所有发现的摘要文档, 包括但不限于所使用的方法, 工作范围, 假设, 漏洞的严重程度等.
一些最重要的组成部分包括:
- 执行摘要
- 漏洞摘要
- 工作范围
- 使用的工具
- 遵循的测试方法
- 建议
- 结论
- 附录
执行摘要: 一个例子, XXX 具有开放输入验证缺陷, 可导致攻击者获取敏感数据
漏洞摘要: 包括应用程序中发现的所有漏洞的摘要以及相关详细信息
工作范围: 一个例子, 该工作的范围仅限于 XXX Android 和 iOS 应用程序,不包括任何服务端组件
使用的工具: 宿主机的版本, 渗透工具的名称与版本
遵循的测试方法: 需要详细论述渗透测试阶段的步骤, 以便他人理解与复现漏洞
建议: 漏洞相应的建议修复方法
结论: 简单地总结渗透测试的总体结果, 简短就好
附录: 类似于目录, 可以放在报告一开始