您的报告至关重要：如何改进渗透测试报告

Brian B. King //

这是BBKing在2019年6月BSides Cleveland会议上发表的“Hack for Show, Report for Dough”报告的配套文章。
渗透测试中有趣的部分是黑客攻击。但使其成为可行职业的部分是报告。您可以针对最令人惊讶的漏洞开发出最惊人的利用，但如果您不能清楚地记录给需要修复它的人，那么您只是在玩乐。这没问题！乐趣很棒！但如果您想再次被雇用，您的报告至少需要与您的黑客攻击一样清晰和有用。

指导原则

在深入细节之前，有一个心理框架来支撑它们是有帮助的。关于您的报告的一切都应该帮助读者理解，根据您的专家意见，您认为测试目标的哪些方面有趣。
“有趣”这个词通常不能独立存在。它太模糊了。在这里，有趣当然意味着漏洞，但也包括积极的事情。如果您有一个通常有效但这次失败的常用技术或攻击——那很有趣。您注意到的任何异常好或一致的事情都很有趣，也应该包括在内。

两个受众

至少会有两种人阅读您的报告，您需要与两者都清晰沟通。
您会有技术人员，他们需要理解您是如何做到的，以便他们可以复制您的结果并设计出实际有效的修复方案。想象一下写给一年前技能水平的自己。如果您从事这个行业很长时间，想象一个聪明且有动力的朋友，他从事系统管理或软件开发。理解背景但可能不了解细节的人。您想帮助的人。
那是您的技术读者。编写报告的主体，以便那个人可以重新做您做过的事情并看到您看到的东西。
您还会有业务人员，他们需要理解您的发现为什么重要，以及涉及哪些业务流程，无论是作为原因还是解决方案。想象一个非常关心您要说的话的人——他们雇用您是因为您是专家——但更关注完成什么而不是如何完成的细节。这个人希望保持业务运行，并且如果能够安全地完成，他们会很高兴。他们从业务流程的角度思考，而不是计算机系统。他们可能没有最喜欢的文本编辑器。就像您的技术读者一样，您的业务读者聪明且有动力——他们只是处理不同的事情，离实际系统有一两层抽象。
那是您的业务读者。编写执行摘要，以便这个人了解整体情况、少数最重要的发现，以及可以应用于它们的业务流程、政策或文化规范。

事实，然后背景，然后意见（即“论证”）

您发现的事实是报告的核心，但它们本身不是报告。您对这些事实的专家判断也是基本的，但您的判断与事实不是同一种东西。您的判断当然有价值——这是您被要求做这件事的部分原因——但它是另一种东西。在您编写报告的方式中使这种差异明显。
描述情况的事实。提供证据来证实事实。通过展示它们如何影响环境及其安全，将事实置于背景中。然后讨论可以对此做些什么（而不是必须做些什么）。提供涵盖相同主题的知名独立来源的参考。如果问题有争议，包括持不同观点的参考。解释为什么您不同意那个观点是可以的，但一定要讲述整个故事，以便您的读者可以做出明智的决定，什么对他们最合适。
用事实和参考信息告知读者。用论证说服读者。提出您的最佳建议，然后将最终决定留给他们。

说明，不要装饰

截图可以节省大量打字。一个好的截图可以说明核心“事实”并提供许多所需的“背景”。
一个好的截图是…

• 准确的，因为它显示了与当前问题相关的事实。
• 精确的，因为它尽可能少地显示其他内容。
• 大小合适，以便其中的任何相关文本可读，并且与报告中附近的文本大小大致相同。

一个糟糕的截图…

• 让读者弄清楚哪部分重要。
• 缩放使文本小到无法阅读或远大于周围文本。
• 让读者开始忽略您的截图，以至于即使好的截图也不再有帮助。

这里有一个例子。您能看出问题是什么吗，在这个未裁剪的截图中，没有任何东西引导您的注意力？
[截图示例描述：未裁剪的网页截图，包含浏览器边框，无焦点]

作为一般规则，如果您的Web应用程序截图包括浏览器边框，考虑是否可以使其更聚焦。像这样：
内容未通过HTTPS交付
[改进的截图描述：聚焦的截图，URL可读，有框和箭头突出显示问题部分，有标题说明]
现在更清楚了。URL可读。框和箭头迫使读者注意到有趣的部分。有一个标题用文字说明。如果您了解Web应用程序，您不能看这个而不认识到问题。
当然，您可以对问题有不同意见。也许有不强制HTTPS的充分理由™。但这个截图帮助您确切知道您不同意什么，这就是重点。

MSWord技巧

现在是一些快速的事情，可以在Microsoft Word中编写报告时节省时间并帮助保持一致性。

即时截图

您可以直接在Word中截图。将光标放在您想要截图的位置，然后执行：
插入 > 截图 > 屏幕剪辑
MS Word窗口将最小化自身，整个桌面将稍微变灰。单击并拖动一个矩形覆盖您想要在截图中的内容。当您释放鼠标按钮时，截图将在您的文档中。
如果您想稍后编辑它，首先将其保存为文件以获得完整分辨率。右键单击并“另存为…”然后在您的图像编辑器中打开该文件。
Word在2019年的某个时候开始向截图添加“自动替代文本”。正如您可能猜到的，它在这方面不是很好，但可能很有趣。如果您已经对它感到厌烦，可以通过文件 > 选项 > 轻松访问 > 自动替代文本禁用它。取消选中该框。

滥用自动更正

将“teh”更改为“the”的相同功能可用于将任何文本更改为任何其他内容。替换可以嵌入格式。
这里有一些可能的文本（包括格式）我刚刚编造的例子。
样板文本我们不想再次输入
选择您想要作为替换文本的任何内容（即您不想再次输入的东西）并将其复制到剪贴板。在这个例子中，选择以上所有三行并按Ctrl-C。
然后，打开自动更正选项
文件 > 选项 > 校对 > 自动更正选项…
注意，您的剪贴板内容预填充在“替换为”列中。键入您想要代表这个的缩写。确保它不是您会作为独立单词键入的东西，以免意外触发。建议：以字母“i”（代表“插入”）开头这些以避免冲突。
在此键入您的替换词
一旦设置，任何时候您键入“issl”它将被替换为第二列中的内容。要触发替换，您的缩写文本必须作为一个单词出现：前后都有空格。

合法宏

如果您反复对文本块做某事，考虑录制一个宏。您不必编写宏，您可以设置Word录制，然后执行步骤，然后保存录制。
然后您可以重新运行录制的操作，或者您可以根据需要编辑宏，使用它生成的代码作为指南。

自定义快速访问工具栏

快速访问工具栏是任何Word窗口标题栏的左侧。默认情况下，它有保存、撤销和重做。如果您不想要它们，可以删除它们，并且您可以在这里添加任何您喜欢的东西，包括宏。
[快速访问工具栏描述：红色突出显示]
要自定义这个，转到
文件 > 选项 > 快速访问工具栏

您的报告比您的黑客攻击更重要

测试不是您可以交付的东西。没有人为测试付费。测试是您在当下做的一系列动作。您交付的东西——客户实际支付的物品——是报告。大多数测试淡入记忆并迅速模糊。报告将永远存在。报告将驱动决策。帮助您的读者做出好的决策。确保您报告中的一切都是有帮助和清晰的。准确和精确。它很重要。

视频链接：
[视频链接描述]