问题描述
我必须编写渗透测试报告的“假设”部分,但我无法理解我应该写什么。我检查了多个渗透测试报告(来自 https://github.com/juliocesarfort/public-pentesting-reports),但没有一个有这一段。
我也找到了这个解释“如果渗透测试员在测试之前或期间考虑了一些假设,报告中需要清楚地显示假设。提供假设将有助于报告受众理解为什么渗透测试遵循特定方向。”,但我仍然认为它更适合“攻击叙述” 。
你能给我一个小的例子(针对一个动作,一个情况),以便我可以确切地看到它应该如何编写?
解决方法
我认为“假设”段落和“攻击叙述”段落在某种程度上是重叠的。我将使用“假设”段落来说明在开始攻击之前做出的几个高层决策,以及渗透测试者对攻击的任何信息。我将扩展“攻击叙述”段落中使用的工具和技术
例如,假设可以是: “渗透测试人员正在对一家少于 5 人的 soho 公司的基础设施进行演习。soho 公司使用通常不安全且配置为默认的消费者网络设备是很常见的。因此,攻击者专注于扫描对于使用供应商默认用户名和密码的数据库的 http 和 ssh"