如何撰写杀手级报告
技术交流是信息安全行业的核心。 毕竟,当进行渗透测试时,渗透测试报告往往不是最终的单个交付品:简要说明已识别的漏洞及其对组织造成的风险的文档。 对于刚起步的人来说,编写出色的渗透测试报告可能是一项艰巨的任务。 渗透测试本质上是技术性的。 尽管一些测试人员在后来的生活中扮演角色(从其他工作和行业中获得经验),但仍有许多人在职业生涯的早期就成为测试人员。 因此,他们通常没有丰富的专业写作经验,并且难以撰写连贯且有价值的报告。 然而,令人高兴的事实是,报告并不难! 下面,我概述了编写无痛报告的步骤,这些报告对您的客户很有价值。 您已经找到一个漏洞,进行了尝试,并发现了可以利用它的所有方式。 肾上腺素激增,已根据您的风险矩阵对漏洞进行了评估,您已准备好让您的客户知道问题是什么以及如何解决。 (您的观众可能不是猫) 在将笔放在纸上(或手指在键盘上)之前,请停止考虑观众的身份。 问自己一个问题,“我是为谁写这份报告的?” 观众也许是一个没有很多信息安全经验的单人IT团队,或者它是一个拥有多年经验的大中型组织中的专门安全团队。 是没有很多技术背景的C级主管或项目经理,还是完全没有其他人? 识别您的受众并了解您的写作对象将有助于您确定报告的构成范围,并告诉您需要涉及多少技术细节。 在撰写报告的每个阶段,您都可以问自己,我写的内容与听众有关系吗? 太明显了吗?…
