您的报告至关重要：如何改进渗透测试报告

Brian B. King //

这是BBKing在2019年6月BSides Cleveland会议上发表的“Hack for Show, Report for Dough”报告的配套文章。

渗透测试中有趣的部分是黑客攻击。但使其成为可行职业的部分是报告。您可以针对最令人惊讶的漏洞开发最惊人的利用程序，但如果您不能清楚地记录给需要修复它的人，那么您只是在玩乐。这很好！乐趣很棒！但如果您想再次被雇用，您的报告至少需要与您的黑客攻击一样清晰和有用。

指导原则

在深入细节之前，拥有一个心理框架来挂载它们是有帮助的。关于您的报告的一切都应帮助读者理解，根据您的专家意见，您对测试目标的有趣之处。

“有趣”是一个通常不能独立存在的词。它太模糊了。在这里，有趣当然意味着漏洞，但也包括积极的事情。如果您有一个通常有效但这次失败的常用技术或攻击——那很有趣。您注意到的任何异常好或一致的事情都很有趣，也应该包括在内。

两个受众

至少会有两种人阅读您的报告，您需要与两者都清晰沟通。

您会有技术人员，他们需要理解您是如何做到的，以便他们可以复制您的结果并设计实际有效的修复方案。想象一下写给一年前技能水平的自己。如果您从事这项工作很长时间，想象一个聪明且有动力的朋友，他从事系统管理或软件开发。一个理解背景但可能不了解细节的人。一个您想帮助的人。

那是您的技术读者。撰写报告的主体，以便那个人可以重新做您做的事情并看到您看到的东西。

您还会有业务人员，他们需要理解您的发现为什么重要，以及涉及哪些业务流程，无论是作为原因还是解决方案。想象一个非常关心您要说的话的人——他们雇用您是因为您毕竟是专家——但更关注完成什么而不是如何完成的细节。这个人希望保持业务运行，并且如果能够安全地完成，他们会很高兴。他们从业务流程的角度思考，而不是计算机系统。他们可能没有最喜欢的文本编辑器。就像您的技术读者一样，您的业务读者是聪明且有动力的——他们只是处理不同的事情，离实际系统有一两层抽象。

那是您的业务读者。撰写执行摘要，以便这个人了解整体情况、几个最重要的发现，以及可以应用于它们的业务流程、政策或文化规范。

事实，然后背景，然后意见（即“论证”）

您发现的事实是报告的核心，但它们本身不是报告。您对这些事实的专家判断也是基本的，但您的判断与事实不是同一种东西。您的判断当然有价值——这是您被要求做这件事的部分原因——但它是另一种东西。在您撰写报告的方式中使这种差异显而易见。

描述情况的事实。提供证据来证实事实。通过展示它们如何影响环境及其安全，将事实置于背景中。然后讨论可以对此做些什么（而不是必须做些什么）。提供涵盖相同主题的知名独立来源的参考。如果问题有争议，包括持不同观点的参考。解释为什么您不同意该观点是可以的，但一定要讲述整个故事，以便您的读者可以做出明智的决定，什么对他们是对的。

用事实和参考告知读者。用论证说服读者。提出您的最佳建议，然后将最终决定权留给他们。

说明，不要装饰

截图可以节省大量打字。一个好的截图可以说明核心“事实”，并提供围绕它所需的大部分“背景”。

一个好的截图是…

准确的，因为它显示了与当前问题相关的事实。 精确的，因为它尽可能少地显示其他内容。 大小合适，以便其中的任何相关文本可读，并且与报告中附近的文本大小大致相同。

一个糟糕的截图…

让读者弄清楚哪一部分重要。 缩放使文本小到无法阅读或远大于周围文本。 让读者开始忽略您的截图，以至于即使好的截图也不再有帮助。

这是一个例子。您能看出这里的问题是什么吗，在这个未裁剪的截图中，没有任何东西来引导您的注意力？

作为一般规则，如果您的Web应用程序截图包括浏览器边框，考虑是否可以使其更集中。像这样： 通过HTTP而非HTTPS交付的内容 现在更清楚了。URL清晰可读。框和箭头迫使读者注意到有趣的部分。有一个标题用文字说明。如果您了解Web应用程序，您不能看这个而不认识到问题。

当然，您可以不同意这个问题。也许有一个“好理由”™不强制使用HTTPS。但这个截图帮助您确切知道您不同意什么，这就是重点。

MSWord技巧

现在是一些快速的事情，可以在Microsoft Word中编写报告时节省时间并帮助保持一致性。

即时截图

您可以直接在Word中截图。将光标放在您想要截图的位置，然后执行： 插入 > 截图 > 屏幕剪辑 MS Word窗口将最小化自身，整个桌面将略微变灰。单击并拖动一个矩形覆盖您想要截图的部分。当您释放鼠标按钮时，截图将在您的文档中。

如果您想稍后编辑它，首先将其保存为文件以获得完整分辨率。右键单击并“另存为…”然后在您的图像编辑器中打开该文件。

Word在2019年的某个时候开始向截图添加“自动替代文本”。正如您可能猜到的，它在这方面不是很好，但可能很有趣。如果您已经对它感到厌倦，可以通过文件 > 选项 > 轻松访问 > 自动替代文本禁用它。取消选中该框。

滥用自动更正

将“teh”更改为“the”的相同功能可用于将任何文本更改为任何其他内容。替换可以嵌入格式。

这是一些可能的文本（包括格式），我刚刚编造了一个例子。 样板文本我们不想再次输入 选择您想要作为替换文本的任何内容（即您不想再次输入的内容）并将其复制到剪贴板。在这个例子中，选择上面的所有三行并按Ctrl-C。

然后，打开自动更正选项 文件 > 选项 > 校对 > 自动更正选项… 注意，您的剪贴板内容预填充在“替换为”列中。键入您想要代表这个的缩写。确保它不是您会作为独立单词键入的东西，以免意外触发。建议：以字母“i”（代表“插入”）开头这些以避免冲突。 在此键入您的替换词 一旦设置，任何时候您键入“issl”它将被第二列中的内容替换。要触发替换，您的缩写文本必须作为一个单词出现：前后都有空格。

合法宏

如果您反复对文本块做某事，考虑录制一个宏。您不必编写宏，您可以设置Word录制，然后执行步骤，然后保存录制。

然后您可以重新运行录制的操作，或者您可以根据需要编辑宏，使用它生成的代码作为指南。

自定义快速访问工具栏

快速访问工具栏是任何Word窗口标题栏的左侧。默认情况下，它有保存、撤消和重做。如果您不想要它们，可以删除它们，并且您可以在这里添加任何您喜欢的东西，包括宏。

快速访问工具栏（红色） 要自定义这个，转到 文件 > 选项 > 快速访问工具栏

您的报告比您的黑客攻击更重要

测试不是您可以交付的东西。没有人支付测试费用。测试是您在当下进行的一系列操作。您交付的东西——客户实际支付的物品——是报告。大多数测试会淡入记忆并迅速模糊。报告将永远存在。报告将推动决策。帮助您的读者做出好的决策。确保您报告中的一切都是有帮助和清晰的。准确和精确。这很重要。

视频链接：

我们认为BB很酷……但我们可能有偏见。 为什么不自己发现并参加他的课程？

现代WebApp渗透测试

可用直播/虚拟和点播

网络广播：攻击战术7 – 您正在寻找的日志 PyFunnels：用于InfoSec工作流的数据规范化

返回顶部

Black Hills Information Security, Inc.

890 Lazelle Street, Sturgis, SD 57785-1611 | 701-484-BHIS (2447) © 2008 关于我们 | BHIS部落公司 | 隐私政策 | 联系

链接

搜索网站