1.1.5 渗透测试报告

在渗透测试过程中如果渗透测试人员发现了许多客户系统的安全漏洞，却无法利用书面的文字清晰地将测试的细节表述在渗透测试报告上，那么可能就会导致客户无法明白渗透测试人员做了哪些测试工作，也不能让客户及时修补对应的漏洞，因此拥有一份完整且清晰的渗透测试报告是至关重要的。

在一份渗透测试报告中，第一页是渗透测试报告的封面，一般包含对应渗透测试的名称、时间及额外的公司信息等。在第二页中会有版权声明、版本变更记录、适用性声明三大内容，从第三页起是这份渗透测试报告的目录部分。

一般来说渗透测试由报告摘要、服务概述、测试服务说明、测试过程详述、测试结果与建议五大板块构成。在报告的摘要中会大致说明此次渗透测试的目的，测出了多少系统漏洞，对服务器的安全评级等内容。之后在服务概述中会以图表加文字的方式向客户展现本次测试的流程及思路，并会向用户阐明在此次渗透测试过程中测试人员使用了何种方式及手段规避了风险，以及整个服务团队是如何管理这个风险的。接着还需在此模块中向客户描述渗透测试人员使用的对应漏洞评级及其他安全评级的评级方式及参考依据等。

在第三模块测试服务说明中，渗透测试人员需要列出我们所测试的所有服务器域名或资产IP，并列出自己所使用的所有测试账户的信息。之后渗透测试人员要列出参与此次测试的测试人员的信息及联系方式，具体的测试时间等，此外还需列出在本次测试过程中所使用的全部测试工具和相关工具的描述、下载方式。

随后渗透测试人员便进行测试过程详述，在此模块中渗透测试人员需要将自己所探测到的所有漏洞都列出，并且以图文并茂的方式将漏洞发现的过程及漏洞危害等体现在报告上，此外还需附上对应漏洞的相应评级。最后渗透测试人员需要在最后一个模块内描述本次渗透测试的测试结果及渗透测试人员给予的安全建议、漏洞修复建议和其他建议。

之后若还有其他文件需要一并随报告提交，可以以附录或附件的方式将对应的内容放置在报告的末尾。至此一份合规的渗透测试报告便编写完毕，每家安全公司都有不同的自己对应的渗透测试报告模板，这些报告可能会在一些模块中略有差异，但总体内容相差不大。