1.1.5 滲透測試報告

在滲透測試過程中如果滲透測試人員發現了許多客戶系統的安全漏洞，卻無法利用書面的文字清晰地將測試的細節表述在滲透測試報告上，那么可能就會導致客戶無法明白滲透測試人員做了哪些測試工作，也不能讓客戶及時修補對應的漏洞，因此擁有一份完整且清晰的滲透測試報告是至關重要的。

在一份滲透測試報告中，第一頁是滲透測試報告的封面，一般包含對應滲透測試的名稱、時間及額外的公司信息等。在第二頁中會有版權聲明、版本變更記錄、適用性聲明三大內容，從第三頁起是這份滲透測試報告的目錄部分。

一般來說滲透測試由報告摘要、服務概述、測試服務說明、測試過程詳述、測試結果與建議五大板塊構成。在報告的摘要中會大致說明此次滲透測試的目的，測出了多少系統漏洞，對服務器的安全評級等內容。之后在服務概述中會以圖表加文字的方式向客戶展現本次測試的流程及思路，并會向用戶闡明在此次滲透測試過程中測試人員使用了何種方式及手段規避了風險，以及整個服務團隊是如何管理這個風險的。接著還需在此模塊中向客戶描述滲透測試人員使用的對應漏洞評級及其他安全評級的評級方式及參考依據等。

在第三模塊測試服務說明中，滲透測試人員需要列出我們所測試的所有服務器域名或資產IP，并列出自己所使用的所有測試賬戶的信息。之后滲透測試人員要列出參與此次測試的測試人員的信息及聯系方式，具體的測試時間等，此外還需列出在本次測試過程中所使用的全部測試工具和相關工具的描述、下載方式。

隨后滲透測試人員便進行測試過程詳述，在此模塊中滲透測試人員需要將自己所探測到的所有漏洞都列出，并且以圖文并茂的方式將漏洞發現的過程及漏洞危害等體現在報告上，此外還需附上對應漏洞的相應評級。最后滲透測試人員需要在最后一個模塊內描述本次滲透測試的測試結果及滲透測試人員給予的安全建議、漏洞修復建議和其他建議。

之后若還有其他文件需要一并隨報告提交，可以以附錄或附件的方式將對應的內容放置在報告的末尾。至此一份合規的滲透測試報告便編寫完畢，每家安全公司都有不同的自己對應的滲透測試報告模板，這些報告可能會在一些模塊中略有差異，但總體內容相差不大。