網(wǎng)站滲透測(cè)試服務(wù)在給客戶(hù)寫(xiě)報(bào)告模板或者檢查表的時(shí)候,應(yīng)逐步完善。寫(xiě)報(bào)告在滲透測(cè)試中耗費(fèi)大量的時(shí)間和精力?;ㄙM(fèi)的時(shí)間取決于客戶(hù)和經(jīng)理期望的交付成果。(中文大概意思是客戶(hù)和老板能不能看懂你的報(bào)告)獎(jiǎng)勵(lì)項(xiàng)目報(bào)告通常比滲透測(cè)試報(bào)告短,但是無(wú)論什么格式,您都將受益于為每個(gè)文檔和測(cè)試類(lèi)型創(chuàng)建模板(黑盒、白盒、Web、網(wǎng)絡(luò)、wifi)。
理想情況下,您的滲透測(cè)試模板應(yīng)包括:通常測(cè)試的測(cè)試列表。有時(shí)候客戶(hù)會(huì)問(wèn)這個(gè),提前做好準(zhǔn)備。每種漏洞類(lèi)型的結(jié)果和解決方案(XSS、CSRF、XXE……)報(bào)告的基本大綱(主要大綱和頁(yè)碼)我曾經(jīng)做過(guò)一個(gè)月的任務(wù),其中滲透測(cè)試的實(shí)際時(shí)間不超過(guò)一周。我們被要求寫(xiě)、描述和重寫(xiě)報(bào)告五六次。
還遇到一個(gè)長(zhǎng)期客戶(hù),讓我提供測(cè)試的詳細(xì)信息,包括陰性測(cè)試結(jié)果(比如沒(méi)有發(fā)現(xiàn)漏洞時(shí)工具的輸出和證明)。提前創(chuàng)建模板并要求經(jīng)理和客戶(hù)提前驗(yàn)證可以為我們節(jié)省大量的任務(wù)時(shí)間。研究自動(dòng)化會(huì)節(jié)省你很多時(shí)間。盡可能多的自動(dòng)化測(cè)試。它將為您節(jié)省復(fù)雜任務(wù)的時(shí)間,并用于測(cè)試更復(fù)雜和邏輯錯(cuò)誤,這些錯(cuò)誤只能手動(dòng)找到。使用熟悉的編程語(yǔ)言,包括但不限于Python、Perl、Bash…可以完全自定義腳本,但不必自己重寫(xiě)。您可以重新開(kāi)發(fā)其他現(xiàn)有的自動(dòng)化項(xiàng)目。
此自動(dòng)化是您想要編寫(xiě)的項(xiàng)目,例如:-測(cè)試SSL/TLS、FTP、SSH,輸出漂亮的滲透測(cè)試報(bào)告。-使用多種成熟的工具查找子域。-文件和目錄暴力。此外,使用Burp入侵模塊和BurpAPI測(cè)試Web漏洞,如開(kāi)放重定向、基本認(rèn)證暴力、IDOR等。以上是高級(jí)黑客的幾個(gè)指南!如果你能從這些技能中學(xué)到一些東西,請(qǐng)與你的朋友分享,這樣你的朋友也可以從中受益。如果想要更豐富的滲透測(cè)試報(bào)告的話可以向國(guó)內(nèi)的SINESAFE,鷹盾安全,綠盟,啟明星辰尋求服務(wù)。
我們專(zhuān)注高端建站,小程序開(kāi)發(fā)、軟件系統(tǒng)定制開(kāi)發(fā)、BUG修復(fù)、物聯(lián)網(wǎng)開(kāi)發(fā)、各類(lèi)API接口對(duì)接開(kāi)發(fā)等。十余年開(kāi)發(fā)經(jīng)驗(yàn),每一個(gè)項(xiàng)目承諾做到滿(mǎn)意為止,多一次對(duì)比,一定讓您多一份收獲!