如何输出WEB安全测试/渗透测试报告

[应用场景]:需要对WEB系统进行安全测试/渗透测试提交人工撰写报告的情景，包括对外部交付/内部团队交付/日常记录等。

[格式呈现]:WORD/PDF/平台

[重点内容]:

测试对象 #测试的目标或被测试的系统/范围清单

测试时间 #执行测试任务的启动和结束时间，以便于监控和过程回溯

测试人员 #执行安全测试/渗透测试的实施人员及联系方式

测试环境 #测试者执行测试动作所使用的IP、操作系统等信息

使用工具说明 #测试者执行测试动作所使用的软件工具、版本等信息

发现的问题 #对测试发现的关键安全问题/各种脆弱性/漏洞进行说明，包括问题名称、严重程度、问题所在路径、利用方式分析、可能的风险隐患、处置建议等详述

注意事项提示 #对测试中发现不属于测试范围内的情况进行风险提示

测试过程声明 #对测试对象进行了哪些具体的测试项目，但由于多种因素暂未发现安全风险隐患，声明对这些测试项内容的已测试承诺。

测试结果 #对发现的问题/风险进行整理和集中说明的清单或图示总结

安全建议 #对发现的问题/风险进行可操作的安全处置建议总结

[辅助内容]:

测试目的 #描述本次测试的背景、目标、方法等综合性说明

预期收益 #描述通过此次测试交付成果可能产生/提供的最佳效益

测试流程 #描述此次测试流程中各阶段的具体工作，便于客观阐述测试步骤，至少包括信息收集、渗透测试、漏洞利用、风险分析等内容

风险管理及规避 #针对此次测试采取避免影响其业务连续性、避免由于安全测试带来的额外风险的具体措施

利用公共资源说明 #对测试过程中引用或利用第三方互联网公共资源的情况进行说明

域名探测 #对WEB系统的域名信息进行收集和探测的说明

IP和C段探测 #对测试对象相同C网段的IP地址进行收集和探测其风险隐患的说明

端口和服务探测 #对测试对象的应用端口和服务情况进行收集和探测的说明

Google Hacking #对测试对象进行Google Hacking的收集和探测的说明

参考依据 #描述此次测试依照的标准或参考的最佳实践、历史案例

致谢 #对测试工作整体过程中的协作人员表达感谢

[特殊说明]:以问题导向呈现测试报告的关键是“发现的问题”；以标准基线导向呈现测试报告的关键则是“测试过程声明”中的所有测试项目。二者区别是前者更看重发现的问题缺陷；后者更看重测试过程的标准化流程和规范性。

[交付模板]：略

坚信少却更好，坚定元认知传播，坚持安全美学，拿个主题，讲300秒就够了。