完整的网站渗透测试报告书应包括执行总结、工作概要、渗透测试过程、安全性分析和附录等方面的内容,详细记录渗透测试过程,说明渗透测试工作中获得的数据和信息。其中,执行总结总结应用程序的安全现状、存在的严重问题、脆弱性等,让顾客从整体上了解其面临的风险状况,采取什么样的措施才能保证其继续处于安全状态的工作概要内容包括安全评价的目标、范围和方法以及渗透测试的时间、场所、参加者等。
详细记录高危脆弱性的发现过程和攻击方式,以及高危脆弱性的详细信息,提供截图等证据和相应的修复建议的安全性分析是分析所有发现的脆弱性,总结应用安全防御的特征,提供安全加固建议的渗透测试报告书的最后一部分提供附录,通常以二维表的形式列出所有的测试用例,各用例的内容包括编号、标题、脆弱性的类别、发现状况、修复建议、风险等级等。
应用渗透测试范围分为应用安全漏洞的种类很多,发表的测试指南中提出测试的漏洞有种类,白帽技术社区网站发表的漏洞有数万种,但实际项目的渗透测试工作中不能完成所有种类的漏洞的测试。为了使应用渗透测试工作更具针对性,本节在研究安全组织和发布的相关文件的基础上,选择常见且危害较大的漏洞作为应用渗透测试的内容,根据发生原因将这些漏洞分为身份认证类、数据认证类、信息泄露类、类、应用逻辑类、类、第三方组件类等。
应用渗透测试的目标是尽可能多地发掘被测试应用中的漏洞和潜在安全隐患,并提出合理有效的解决方案。本节将结合实际项目给出一个完整的网站渗透测试方法网站案例,详细描述渗透测试方法网站渗透测试的具体实现流程,将本文提出的网站渗透测试方法设计的流程、内容等应用于实际的渗透测试工作中。