编写渗透测试报告时，“假设”指的是啥？ [关闭]

Posted 2023-02-19

【中文标题】编写渗透测试报告时，“假设”指的是啥？ [关闭]

【英文标题】：What does "assumptions" refer to when writing a pentest report? [closed]编写渗透测试报告时，“假设”指的是什么？ [关闭]

【发布时间】：2021-07-11 14:00:31

【问题描述】：

我必须编写渗透测试报告的“假设”部分，但我无法理解我应该写什么。我检查了多个渗透测试报告（来自https://github.com/juliocesarfort/public-pentesting-reports），但没有一个有这一段。我还发现了这个解释“如果渗透测试人员在测试之前或测试期间考虑了一些假设，假设需要清楚地显示在报告中。提供假设将有助于报告受众理解为什么渗透测试遵循特定方向。”，但我仍然认为它更适合“攻击叙事”。 您能否提供一个小示例（针对一个动作、情况），以便我确切了解应该如何编写？

【问题讨论】：

我投票结束这个问题，因为它与编程无关，可能更适合Information Security SE。

【参考方案1】：

我认为“假设”段落和“攻击叙述”段落在某种程度上是重叠的。我将使用“假设”段落来说明在开始攻击之前做出的几个高级决策，以及渗透测试者对攻击的任何少量信息。我将扩展“攻击叙述”段落中使用的工具和技术

例如，假设可能是： “渗透测试者正在对一家少于 5 人的 soho 公司的基础设施进行演习。soho 公司使用通常不安全的消费者网络设备是很常见的，并且配置为默认设置。因此，攻击者专注于扫描使用供应商默认用户名和密码数据库的 http 和 ssh"