渗透测试报告撰写指南：关键要点与常见误区

作者：Melisa Wachs

随着学龄儿童开学第一天到来，是时候与大家回顾一些基本的报告撰写指南。以下是本人在Black Hills Information Security十年阅读和编辑渗透测试报告后总结的一些要点。

应该做的事

DO：设置共享空间，让团队能够沟通一致性。 如果有多个作者，报告最好保持统一的“声音”。在BHIS，测试人员使用第三人称、过去时态等。

DO：记住报告是所有出色测试成果的交付物，但除非能与客户有效沟通，否则毫无价值。 你可以让报告对读者具有教育性、信息性和趣味性。

DO：记住你的角色是通过教育每个客户来帮助提升整个行业。 我们的目标是拥有回头客，这需要通过以教育者的态度对待客户来实现。

DO：每次从新的报告文档开始。

DO：记住你的受众，高管需要专门针对他们的部分，技术人员需要自己的方法论。

DO：认真对待评分。 毕竟你是专家，确保给出评分的理由。

DO：如果尚未实施，考虑在交付报告前进行技术审查和语法审查。 这确保报告在送达客户前有两道防线。

DO：在测试时做笔记和截图。 这会让撰写报告时轻松很多。

DON’T：独来独往。 如果团队合作，大家都会进步和提高。

DON’T：冒犯客户。 把自我从等式中移除。报告不是你炫耀自己有多厉害或嘲笑客户环境多弱的个人平台。

DON’T：在报告中表现出谴责或贬低的态度。 客户来找你是有原因的。注意你的描述性形容词和副词，是否过度情绪化强调？如果是，你可能在提交带有偏见的报告。

DON’T：从旧报告中复制粘贴。 这是不可接受的，容易包含之前客户的信息。在报告中识别其他客户很糟糕，非常非常糟糕。

DON’T：只对技术人员或高管说话。 简而言之，确保为公司的所有层面带来价值。

DON’T：对评分过于较真。 如果客户因为其环境中的某些政治或特定情况认为评分应该调整，让他们调整。毕竟他们是自己环境的专家。

DON’T：将审稿人视为威胁而非资产。 不要因为报告被编辑而在团队内发生冲突。如果你是渗透测试新手（或刚加入公司），他们可能最初希望编辑和密切监督你的报告。

DON’T：拖延。 尽快撰写报告，最好在实际测试时进行。如果不清晰或马虎，客户可能会要求进一步解释。此外，信息在脑海中越新鲜，报告就越好。想象你必须仅通过报告向律师辩护你的测试，这种思维是确保详细快速报告过程的可靠方式。

祝又一个学年的开始和终身学习的延续！