编写渗透测试报告时,“假设”指的是啥? [关闭]

Posted

技术标签:

【中文标题】编写渗透测试报告时,“假设”指的是啥? [关闭]【英文标题】:What does "assumptions" refer to when writing a pentest report? [closed]编写渗透测试报告时,“假设”指的是什么? [关闭] 【发布时间】:2021-07-11 14:00:31 【问题描述】:

我必须编写渗透测试报告的“假设”部分,但我无法理解我应该写什么。我检查了多个渗透测试报告(来自https://github.com/juliocesarfort/public-pentesting-reports),但没有一个有这一段。我还发现了这个解释“如果渗透测试人员在测试之前或测试期间考虑了一些假设,假设需要清楚地显示在报告中。提供假设将有助于报告受众理解为什么渗透测试遵循特定方向。”,但我仍然认为它更适合“攻击叙事”。 您能否提供一个小示例(针对一个动作、情况),以便我确切了解应该如何编写?

【问题讨论】:

我投票结束这个问题,因为它与编程无关,可能更适合Information Security SE。 【参考方案1】:

我认为“假设”段落和“攻击叙述”段落在某种程度上是重叠的。我将使用“假设”段落来说明在开始攻击之前做出的几个高级决策,以及渗透测试者对攻击的任何少量信息。我将扩展“攻击叙述”段落中使用的工具和技术

例如,假设可能是: “渗透测试者正在对一家少于 5 人的 soho 公司的基础设施进行演习。soho 公司使用通常不安全的消费者网络设备是很常见的,并且配置为默认设置。因此,攻击者专注于扫描使用供应商默认用户名和密码数据库的 http 和 ssh"

【讨论】:

以上是关于编写渗透测试报告时,“假设”指的是啥? [关闭]的主要内容,如果未能解决你的问题,请参考以下文章

请问APQP、PPAP、PFMEA、DFMEA具体指的是啥?谢谢

腾讯GT中PNET指的是啥

开发环境指的是啥

盖茨特征指的是啥

盖茨特征指的是啥

渗透测试工程师和网络安全工程师区别?去哪可以学习