请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科服务支持社区 点击关注
思科服务支持社区

  
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 903|回复: 0

【和巨廉一起漫谈企业信息安全运维】 -- 渗透灰盒测试与报告(下)

[复制链接]
发表于 2017-9-15 18:21:19 | 显示全部楼层 |阅读模式
1193173035.jpg

大家好,书接上回!

测试流程

E文里,这个部分有个美丽的名字叫做“Technical Storyline”。对,就是最近热播剧《West Word》里,老戏骨们争得头破血流的storyline。我们可以画出带有各种条件判断和步骤框图的测试Flow Chart,它既可以体现咱们的专业水平,又能彰显测试思维的缜密性。另外,我们还可以在必要时阐述一下涉及到评判标准之类的方法论,以增强逻辑性。

工具列表

这里主要包括版本和功能的简要描述。其好处是:如果有人要重现您的测试,则他们可以籍此确切的找到您使用的工具,实现测试的可重复性。

报告主体

这一部分在整个报告中的技术成分含量最高,报告的正文应当包括所有检测到的漏洞细节。即:如何发现到漏洞、漏洞可以如何利用、以及其被利用的可能性有多大。并且还应该尽可能的逐条给出切实贴合的修复建议。在表述顺序上可以有如下几种“打开”方式:

          以严重等级:从高到低,例如:从SQL的注入漏洞一直罗列到源代码中留存的,尽管被注释掉的信息。

          以网络架构:从外到内,例如:可以参考我们前面各期漫谈所递进介绍的网络拓扑结构的顺序哦。

          以系统功能:从点散开,例如:将系统中所有涉及到侦听、嗅探的各种测试都描述到位之后,再描述所有涉及密码破解的测试结果。

哥本人喜欢用的方式是以填表的形式予以呈现,比如在每个表格里都固定包含的表项信息有:漏洞名称、等级程度、被利用的可能性、危害范围和建议等。而且要善用rich formatting(即不同颜色、字体、字号和效果等),以达到醒目和易记忆的效果。当然也可以通过软件来自动生成一些饼图或柱状图,以体现各种占比。毕竟有图有真相、图文并茂,才更有说服力。

附录

这里可以添加一些未尽之言的内容。比如:一些测试原理与依据的支撑材料,参加测试人员的资历和项目经验,以及一些必要的且包含有时间戳和系统特征信息的佐证截屏,甚至是一些术语说明列表等。

免责声明

正如《阿甘正传》里的那句:“生活就像一盒巧克力,你永远不知道下一颗是什么味道。”我们在愉快的提交了测试报告后,是无法知道它被用来做什么以及会给自己的工作带来什么的。所以如果你是作为第三方involve到这个测试中的话,最好是在最后或是扉页处撰写一个免责声明,必要时可以附上有高层签署的该渗透测试同意书。

那天哥陪一个小小孩下四分之一的围棋盘。孩子一开始就口中念叨着“金角银边草肚皮”那句口诀。这使我突然顿悟到:我们信息安全与下围棋也有相通之处啊。系统的安全同样也是从边界防护开始着手的(曾记否?咱们漫谈就是从边界讲起的哦。);而渗透测试则更像是我们平时“打棋谱”一样,不断通过模拟攻防、揣摩改进以培养对整体系统安全的全局掌控能力。另外,与要把对方的攻击性棋子消灭干净并将死才为胜利的象棋不同,围棋讲求的是:无不同职能棋子的区分,双方棋子尚在棋盘上的情况下,只要在数量上达到可预见的制衡,便可判定胜负。因此,对于各种攻击,我们做信息安全的也无法完全阻止,更不存在一劳永逸之法;我们只能将“魔高一尺,道高一丈”动态化且常态化。想着、想着我居然连输了孩子两盘……

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科服务支持社区  

GMT+8, 2017-10-17 16:01 , Processed in 0.079580 second(s), 28 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表