• 优秀的渗透测试报告标准


    优秀的渗透测试报告标准
     

    漏洞标题

    标题描述:标题可简明扼要说明问题,描述语言规范化。如“testasp.vulnweb.com站showforum.asp请求存在SQL注入漏洞”“testasp.vulnweb.com站查看订单处存在越权漏洞”

    基本信息

    漏洞类型:填写信息准确无误

    漏洞等级:填写信息准确无误

    厂商信息:填写信息准确无误

    漏洞描述

    漏洞简述:包含漏洞概述,漏洞危害

    漏洞正文

    漏洞复现过程:复现过程完整,无需二次沟通或补充数据

    分步骤图文描述:有详细的漏洞复现步骤、测试步骤,并每个步骤配有图文描述。平台、厂商可根据描述一次性完成漏洞复测

    漏洞危害证明:漏洞危害证明完整,无误

    URL及重要参数:URL及重要参数完整,无误

    格式排版、专业术语:格式排版规范;无病句错别字;描述用语专业化,规范化

    修复建议

    漏洞修复建议:修复建议对开发有较大实用性,如修复思路,修复代码样式,伪代码等

    良好的报告标准

    漏洞标题

    标题描述:标题可基本概括漏洞情况,描述语言缺乏规范性。如“一处注入漏洞”“另外一处注入”“网站某处存在越权”

    基本信息

    漏洞类型:填写信息准确无误

    漏洞等级:填写信息准确无误

    厂商信息:填写信息准确无误

    漏洞描述

    漏洞简述:包含漏洞概述

    漏洞正文

    漏洞复现过程:复现过程基本完整,个别地方描述不清或缺少数据,对漏洞评估、复现有一定影响

    分步骤图文描述:关键测试步骤完整,但复现步骤缺失,对漏洞复现有一定影响。如直接粘贴出漏洞利用请求包,但缺乏测试步骤如何获取此请求包,需要二次沟通方才可复现

    漏洞危害证明:漏洞危害证明基本完整

    URL及重要参数:URL及重要参数基本完整

    格式排版、专业术语:格式排版不影响正常阅读;个别病句错别字;描述用语较为规范化

    修复建议

    漏洞修复建议:修复建议基本无误,但过于简单,无实际参考意义。如“控制权限”,“过滤参数”,“校验身份”

    较差的报告标准

    漏洞标题

    标题描述:标题描述不清;与漏洞详情不符;夸大漏洞级别及危害

    基本信息

    漏洞类型:填写信息准确无误

    漏洞等级:填写信息准确无误

    厂商信息:填写信息准确无误

    漏洞描述

    漏洞简述:无效的漏洞描述,如“RT”,“请看详情”

    漏洞正文

    漏洞复现过程:复现过程关键步骤缺失,影响正常的漏洞评估、复现

    分步骤图文描述:无测试步骤;无文字描述,直接粘贴截图。对漏洞评估、复现、修复工作产生较大影响。

    漏洞危害证明:无有效漏洞危害证明或主管臆断危害。

    URL及重要参数:缺少关键URL,核心参数,影响复现

    格式排版、专业术语:格式排版混乱,影响正常阅读;出现较多的病句,错别字;过于口语化、网络化用语,如“你懂的”

    修复建议

    漏洞修复建议:无意义或错误的修复建议。如“不知道”,“你懂的”,“问开发”,“修复”

  • 相关阅读:
    排序算法之希尔排序
    javascript Set data structures
    javascript Dictionary data structures
    javascript linkedlist data structures
    关于Java Collections的几个常见问题
    java NIO中的buffer和channel
    编写一个程序,开启 3 个线程,这三个线程的 ID 分别为 A、B、C,每个线程将自己的 ID 在屏幕上打印 10 遍,要求输出的结果必须按顺序显示。如:ABCABCABC…… 依次递归
    Java多线程之Callable接口的实现
    Java并发:volatile内存可见性和指令重排
    Lock和synchronized的区别和使用
  • 原文地址:https://www.cnblogs.com/wwlww/p/8413318.html
Copyright © 2020-2023  润新知