一文了解新手如何编写一份专业的渗透测试报告以及文档附录资料下载

常规的渗透测试流程一般为以下几个过程：目标确认、信息收集、漏洞发现、漏洞利用、权限维持内网渗透、目标获取痕迹清理、编写文档输出报告。学了这么久渗透测试，“骚”的技术点学了不少，那作为一个职业白帽你知道一份优质的渗透测试报告应该是什么样的吗？

在开始之前先来了解什么是渗透测试报告。渗透测试报告是对渗透测试进行全面展示的一种文档表达，要知道在实际渗透的过程中，在与客户确认项目了之后，技术人员会使用PC对目标进行模拟攻击，完成模拟攻击之后我们需要将项目成果、进行过程对客户进行一个详细的交付，就需要一份渗透测试报告来完成这个任务了。总的来说，渗透测试报告是表达项目成果的一种交付形式，主要目的是让客户或者合作伙伴通过此报告来获取信息。

和一般的漏洞提交报告一样，渗透测试报告本身并没有一个非常统一的标准，每个公司每个团队每个人都有他们自己特有的风格，但表达的内容大体上都是差不多的。主要分为以下几个部分：概述、漏洞摘要、渗透利用、测试结果、安全建议。

因为渗透测试报告最终的对象是客户，让客户满意是最大的目标。所以在撰写的过程中，需要特别注意的是：漏洞描述切忌不可过于简单，一笔带过；在安全建议部分避免提出没有实际意义的安全建议，比如加强安全意识；太多复杂的专业术语，比如绕狗、x站等等；报告结构混乱不堪。那么接下里先看看渗透测试报告的一个编写规范。怎么写，要写些什么我如下图所示；

渗透测试报告编写规范：

那么在开始之前呢一般如图所示的一个流程：下面将逐一讲解：

在上面我们了解到透测试报告的一个编写规范。那么接下来讲讲渗透测试的一个流程。

渗透测试流程：

前期交互阶段

什么是前期交互阶段呢？就是说与A公司测试的范围，时间，预期等等。那么可能有些人会说，作为一个安全渗透工程师可能会来了什么活给了你什么东西，然后我就直接就去做了，是很多时候我们就这么去做了，但是优秀的服务工程师也要具备与客户沟通的一个能力的，那么在这A公司案列中呢，那么他要做个相关的这个渗透测试的时候，我们需要去跟他去了解什么样的一个内容呢？首相我们可能跟项目经理那边了解到有那些系统，项目结束的时间是什么时候，客户那边大致想要得到一个什么效果。我们基本都明确了，但是我们在真正实施当中还是会出现这样或那样的小问题。在测试的时候遇到一些高危操作要不要进行执行，正常情况下要报给项目经理，那么为了减少人力成本以及沟通成本，那么我们就是要去做这个项目的沟通。

准备阶段

准备阶段它其实是属于一个信息收集的这样一个阶段，包括我们资产信息的一个梳理，对指定目标的进行一个扫描等等，那为什么渗透测试还要对这个漏洞进行扫描，其实提高我们工作效率的一个东西。

漏洞分析阶段

那么在漏洞分析阶段呢，整理漏洞扫描的一个结果，汇总高可利用了这个漏洞， 为什么是整理漏扫的扫描结果？说到这儿可能会问为什么不是直接拿到一个网站，直接进行渗透测试进行一个相关操作。其实这里面从商业的角度去考虑，其实是一个成本的一个问题。我们都知道这个人员的这个成本是比较高的啊，所以很多公司在去做这个漏扫的时候安全服务的时候呢。拿漏扫设备啊去先做一遍，然后有一些呢他还是有些公司呢他还具备了一些的这个像自动化渗透的这样的一个工具。那按照正常我们所理解的我就是拿过一个资源来进行一个直接去去做了比如说我们挖洞的过程当中对吧1

漏洞验证阶段

漏洞验证的这个阶段的时候呢，其中有一项并非常重要的一个点呢，第一个就是你做了什么，第二个就是结果是什么，报告当中一定要体现这么两个概念

后期报告阶段

报告的编写核对和汇报，我们作为安全服务工程师来说的话呢，我们是也是需要去写这个报告的。

那么接下来将模拟完整的一套流程：

案例：A公司要给公司的网站做安全测试（黑盒），安全公司的工程师接到任务后开始了对某A公司的安全检查！进行一个漏扫业务。进行安服业务，进行渗透测试，其中关键动作包括项目的前期沟通，项目启动阶段，项目实施阶段，项目验收阶段。

那么接下来要准本些什么文档呢，如图所示：

那么你接手了一个项目，该怎么进行操作呢，如图所示大致分为项目准备-项目启动-实施阶段-项目验收

首先根据客户要求沟通好后，那么接下进入项目准备阶段。

准备好保密协议和授权函以及扫描服务，等如图所示计划表

经过和A公司的沟通确定了为新闻文章管理系统进行漏洞扫描测试，那么我们接下来做好一个相关文档发给A公司查看

1.保密协议以及授权函。如图

第二阶段项目启动阶段

这个阶段要准备些什么呢？1.项目启动涵，交付流程，启动会议等文档。

那么在此A公司我准备了如图所示文件;包含项目，启动会PPT，会议纪要，计划表，成员表，实施方案，渗透测试业务范围等如图所示文件

第三阶段实施阶段

这个项目的报告，周报，启动涵，测试报告，复测报告，测试记录等

为此我们在本项目中做了一个测试记录和测试报告文档

第四项目验收阶段

到最后，验收报告，等汇报报告。

那么在在此A公司做一个验收报告和一个渗透测试服务验收标准文档

好了，那么我们等待A公司的验收通过就可以收账啦，哈哈

那么以上就是渗透测试的一个报告流程，以上为部分截图，完整文档以及相关模板文档下方下载：

A公司渗透测试报告下载

渗透测试相关文档模板下载