PTES标准中的渗透测试阶段7

    报告是渗透测试过程中最为重要的因素,使用报告文档来交流在渗透测试过程中做了哪些,如何做的,以及最为重要的----客户组织如何修复所发现的安全漏洞和弱点。
        当在编写和报告发现时,需要站在客户组织的角度上,来分析如何利用发现来提升安全意识,修补发现的问题,以及提升整体的安全水平,而并不仅仅是对发现的安全漏洞打上补丁。
        所撰写的报告至少分为摘要、过程展示和技术发现这几个部分,技术发现部分将会被客户组织用来修补安全漏洞,但这也是渗透测试过程真正价值的体现。例如,在客户组织的web应用程序中找出了一个SQL注入漏洞,渗透测试者会在报告的技术发现部分来建议客户对所有的用户输入进行检查过滤,使用参数化的SQL查询语句,在一个受限的用户账户上运行SQL语句,以及使用定制的出错消息。最可能导致SQL注入漏洞的根本原因是使用了未能确保安全性的第三方应用,在报告中也要充分考虑这些因素,并建议客户组织进行细致检查并消除这些漏洞。
转载请注明本文链接: http://www.mayidui.net/t2343.html
游客
登录后才可以回帖,登录 或者 注册