渗透测试报告生成工具

目录

1.前言

1.1 渗透测试报告是什么?

1.2 渗透测试报告的编写需要考虑以下几点:

1.3 一份优秀的渗透测试报告应该具备以下特点:

1.4 在编写渗透测试报告之前,需要进行一些准备工作:

1.5 渗透测试报告一般包括以下部分:

2.工具介绍

2.1 XhitReport

2.1.1 项目地址

2.1.2 项目使用 

2.1.3 报告生成示例

1.用于快速生成漏洞报告

2.测试效果如下

 2.2 ShitReport

2.2.1 项目地址

2.2.2 简介

2.2.3 背景

2.2.4 配置

2.2.5 基础测试

2.2.6 基础输出

2.2.7 log.txt

2.2.8 测试漏洞复现多图文

 2.2.9 如何使用

 3.总结


1.前言

        在日常的渗透测试过程中,我们在进行合法合规的进行渗透测试后,需要进行编写相应的详细的渗透测试报告来提交给客户或是审核人员,方便审核人员对漏洞进行复现和验证,当然,很多时候我们写的报告很多都是重复性的内容,尤其是相同的漏洞类型,像我自己之前在没有合适的工具之前都是通过手工将一些重复性的内容写好,然后进行替换,当然有了工具就不一样了,可以帮助我们节省很多时间来写报告,毕竟很多时候做项目的时候报告交的快慢就是金钱的衡量. 

        下面介绍两个我常用的报告生成工具,对我个人来说其实还是不能很好的满足我的需求,但是可以节省很多时间,需要工具的师傅,直接跳过前言部分.

1.1 渗透测试报告是什么?

        渗透测试报告是渗透测试过程中的关键组成部分,它记录了测试的目标、方法和结果,为客户提供了关于安全风险和漏洞的重要信息。编写一份清晰、详细且易于理解的渗透测试报告对于客户与渗透测试团队之间的交流至关重要。

1.2 渗透测试报告的编写需要考虑以下几点:

  1. 报告流程和结构:包括测试的背景信息、漏洞摘要、渗透利用、测试结果和安全建议。
  2. 注意事项:避免过于笼统或模糊的描述,提供具体、可执行的安全建议,确保报告结构清晰,逻辑连贯。
  3. 检测过程:包括拟检测的项目、使用的工具或方法、检测过程描述、检测结果说明以及过程的重点截图。
  4. 工具和方法:选择合适的渗透测试工具和方法,可能包括开源工具、定制脚本或商业工具。
  5. 案例解析和参考资料:参考网络上的案例分析和实战经验文档,帮助理解渗透测试在实际环境中的应用。

1.3 一份优秀的渗透测试报告应该具备以下特点:

  • 重点突出:报告一开始就应节选所发现的“重点漏洞”,用直白的话写,让主管一目了然。
  • 图表重于文字:尽量附图佐证,数据对比或汇总,采用列表或表格式编排,让阅读报告的人感觉条理清晰。
  • 结果与建议:测试结果、弱点、漏洞务必要提出来,并给予修正建议,如果受测系统设置了不错的防护机制,也可以将该方式列入报告中。

1.4 在编写渗透测试报告之前,需要进行一些准备工作:

  1. 确定报告的目标和受众。
  2. 整理测试数据和分析结果。
  3. 确认漏洞修复情况。
  4. 确定报告的排版和格式。
  5. 确认报告的准确性和可靠性。

1.5 渗透测试报告一般包括以下部分:

  1. 漏洞描述。
  2. 漏洞验证。
  3. 漏洞分析。
  4. 风险评估。
  5. 修复建议。
  6. 测试结论。

        在编写渗透测试报告时,还需要注意遵守法律和道德规范,保持客观真实,简明扼要,并针对受众编写,同时注意保密性。编写高质量的渗透测试报告,关键在于企业用户是否可以利用它来有效改善组织当前的网络安全态势。渗透测试报告是展示渗透测试结果的关键文档,提供了网络安全状况的全面概述、发现的漏洞以及解决建议。编写时应明确目的性、保证逻辑性、关注细节完整性、采用客观性、强调实用性,并重视报告的教育性.

2.工具介绍

2.1 XhitReport

2.1.1 项目地址

Coderrrr-400/XhitReport: 用于快速生成漏洞报告 (github.com)icon-default.png?t=N7T8https://github.com/Coderrrr-400/XhitReport

2.1.2 项目使用 

        这个工具的话使用起来比较简单,就是打开下载的工具的文件夹,然后使用下面的命令,其中使用的这个工具是需要安装依赖的,但是我看到作者并没有给出.可以先看第二个工具,第二个工具是在这个工具的基础上二改的,可以先安装了第二个工具的依赖后,这个工具就可以正常使用了.或者自行安装依赖.

                这个报告生成器的话,个人感觉比较适合在漏洞盒子以及教育src使用

python ShitReport.py

2.1.3 报告生成示例

1.用于快速生成漏洞报告

        报告图示如图所示,可以填写相关的信息.如果需要将截图添加进去的话,需要进行截图后,点击读取截图,工具就会从剪切板中获取截图,截图获取如第二张图所示.

2.测试效果如下

最终生成的报告为word文2件,并且生成的工具的当前目录下,但是这个工具只支持写两个复现

 2.2 ShitReport

2.2.1 项目地址

s1g0day/ShitReport: 渗透测试报告生成工具 (github.com)icon-default.png?t=N7T8https://github.com/s1g0day/ShitReport

        下面是作者自己对工具的一些介绍,相比第一个来说,确实完善了不少,更适合提交项目时的规范的渗透报告,以及提交CNVD时提交的复现报告,感觉都是不错的,或是生成后进行复制提交也是可以的,自己把需要完善的部分进行完善后,使用起来会很方便.

2.2.2 简介

                基于Coderrrr-400 师傅项目二开,也是pyqt+chatgpt练手项目。

2.2.3 背景

        在试用多款渗透测试报告生成工具后终于放弃了,每个项目在安装或使用的过程中都存在一些瑕疵。

        如果只关注报告而不关注格式,每个选项似乎都不错,各有千秋。遗憾的是,它们都无法完全匹配正在使用的模板。我曾考虑对其中一些项目进行二次开发,但对于我这个初学者来说,难度太大了。相比之下,Coderrrr-400师傅的项目对我来说比较简单直接,也更加可塑。虽然我不懂pyqt,但在chatgpt和Google的帮助下,二次开发的项目还是达到了预期效果。

2.2.4 配置

pip3 install requirements.txtconfig.yamlsupplierName: '张三'
city: '郑州'  # 自定义默认城市
unitType:
industry:

漏洞名称及修复建议配置格式,换行的目的是为了在word中也能换行

vulnerabilities:弱口令: 1.使用多种字符组合的强密码,如大小写字母+数字+特殊字符。
​2.用户密码中不要出现与用户名或者系统名相关的字符。

vulnerabilities:弱口令: '1.使用多种字符组合的强密码,如大小写字母+数字+特殊字符。
​2.用户密码中不要出现与用户名或者系统名相关的字符。'

2.2.5 基础测试

注: 图中所示为随便复制的测试数据,非实际漏洞

2.2.6 基础输出

xxx.docx

2.2.7 log.txt

日志信息

output/2024.05.28_output.txt

直接全选复制到excel表格中

2.2.8 测试漏洞复现多图文

        可以多图文,相比之前的第一个工具来说确实便利了很多,毕竟测试的时候有一个漏洞就很容易出现多个漏洞

结果

 2.2.9 如何使用

        根据作者给出的,下载项目后,先在项目处安装依赖,作者其实给出了其中的start.bat文件,但是我经过尝试后发现无法使用,只能通过命令进行启动

PowerShell 7.4.2

cd D:\Hack-Tools\Hack-tools\ShitReport
pip install -r requirements.txt -i https://pypi.doubanio.com/simple/

 在当前目录下,启动命令行,然后使用下面的命令,出现下面的界面代表成功,如何对其中的内容进行修改按照作者给出的配置进行即可

python ShitReport.py

 3.总结

        对于日常测试过程中的生成报告工具做个总结和记录,帮助更多的朋友节省写报告的时间,专注于渗透测试或其他.

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/21489.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

作为表达式调用时,无法解析类修饰器的签名。vue3+ts+vite,使用装饰器时报错

作为表达式调用时,无法解析类修饰器的签名。 The runtime will invoke the decorator with 2 arguments, but the decorator expects 1.ts(1238) 页面也无法打开 解决方案: {"extends": "vue/tsconfig/tsconfig.dom.json","in…

代码随想录算法训练营Day55 | 583. 两个字符串的删除操作 72. 编辑距离 编辑距离总结篇

代码随想录算法训练营Day55 | 583. 两个字符串的删除操作 72. 编辑距离 编辑距离总结篇 LeetCode 583. 两个字符串的删除操作 题目链接:LeetCode 583. 两个字符串的删除操作 思路: 分别删除 class Solution { public:int minDistance(string word1, …

SEW交频器 MDX61801110-5A3-4-0T可议价

SEW交频器 MDX61801110-5A3-4-0T可议价 SEW交频器 MDX61801110-5A3-4-0T可议价 SEW交频器 MDX61801110-5A3-4-0T可议价 SEW交频器 MDX61801110-5A3-4-0T参数表 SEW交频器 MDX61801110-5A3-4-0T中文说明书 SEW交频器 MDX61B01110-5A3-4-0T 规格:MOVIDRIVE MDX61B0110-5A3…

【MySQL】探索 MySQL 中的 NVL:使用 IFNULL 和 COALESCE 实现

缘分让我们相遇乱世以外 命运却要我们危难中相爱 也许未来遥远在光年之外 我愿守候未知里为你等待 我没想到为了你我能疯狂到 山崩海啸没有你根本不想逃 我的大脑为了你已经疯狂到 脉搏心跳没有你根本不重要 🎵 邓紫棋《光年之外》 什么是 NVL…

PyTorch使用tensorboard的SummaryWriter报错

PyTorch使用tensorboard可以显示网络运行情况,但偶尔使用SummaryWriter时遇到Segmentation fault错误。 利用python3的faulthandler,可定位到出错的代码行,具体操作有两种方式如下: (1) 在代码中写入faulthandler import faulthandler # 在import之后直接添加以下启用代码…

探索数据结构:便捷的双向链表

🔑🔑博客主页:阿客不是客 🍓🍓系列专栏:渐入佳境之数据结构与算法 欢迎来到泊舟小课堂 😘博客制作不易欢迎各位👍点赞⭐收藏➕关注 ​​ 前言 前面我们学习了单链表,它解…

k8s常用命令(持续更新中)

1. 常用命令 # 查看命名空间下的所有pod kubectl get pod -n 命名空间 # 查看某命名空间下某个pod的日志 kubectl logs -f -n 命名空间 pod名# 查看某命名空间下某pod的详细信息 kubectl describe pod pod名 -n 命名空间# 查看所有命名空间下pod kubectl pods --all-namespac…

等保测评核心对象概览及实施要点

等保测评的对象主要包括以下几个方面: 1. 信息系统:由计算机硬件、网络和通信设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。常见的信息系统包括办公自动化系统(OA)、客户关系管理系统、进销存管理系统等。…

ICLR24大模型提示(3/11) | PromptAgent:利用语言模型进行战略规划,实现专家级提示优化

【摘要】高效的、针对特定任务的提示通常由专家精心设计,以整合详细的说明和领域见解,这些见解基于对大型语言模型 (LLM) 的本能和目标任务的复杂性的深刻理解。然而,自动生成这种专家级提示仍然难以实现。现有的提示优化方法往往忽视领域知识…

20240603每日AI------------项目引入Spring Cloud Alibaba AI (二)

项目源码解析 前端代码&#xff1a; <div class"container"><h1>Spring Cloud Alibaba AI Example</h1><form id"form"><label for"message">User Message&#xff1a;</label><input type"text&q…

大模型PEFT(一)之推理实践学习记录

1. 简介 多种模型: LLaMA、Mistral、Mixtral-MoE、Qwen、Yi、Gemmha、Baichuan、ChatGLM、Phi等等。集成方法:(增量)预训练、指令监督微调、奖励模型训练、PPO训练和DPO训练。多种精度:32比特全参数微调、16比特冻结微调、16比特LORA微调和基于AQLM/AWQ/GPTQ/LLM.int8 的2/4/8…

一篇文章掌握Java的80%:面向对象与并发编程

Java作为一种广泛使用的计算机编程语言&#xff0c;其强大之处在于其面向对象的特性和对并发编程的良好支持。作为一名程序员&#xff0c;我深知掌握Java的面向对象概念、集合框架、多线程与并发编程&#xff0c;以及JVM基础对于编写高效、可维护的代码至关重要。本文将引导你快…

操作字符串获取文件名字(包含类型)

记录一种操作字符串获取文件名字的操作方式&#xff0c;方便后期的使用。示例&#xff1a; 输入&#xff1a;"D:/code/Test/Test.txt" 输出&#xff1a;"Test.txt" 设计思路&#xff1a; 首先查找路径中最后一个”/“&#xff0c;然后再通过字符串截取的…

湖南源点调研 为什么中小企业产品上市前一定要做市场调研?

本文由湖南长沙&#xff08;产品前测&#xff09;源点调研咨询编辑发布 可能有很多企业主会表示&#xff0c;市场调研&#xff0c;产品调研&#xff0c;不都是大公司、大品牌、上市公司才会有的流程吗&#xff0c;像我们这种小企业、小品牌、小厂家没有必要去那么做&#xff0…

Python文本分词工具库-jieba

内容目录 一、分词二、设置分词三、词性信息四、关键词提取 jieba库是一个针对中文文本的分词工具库&#xff0c;广泛应用于自然语言处理&#xff08;NLP&#xff09;领域的中文文本预处理阶段。 主要功能: 中文分词&#xff1a;能够将连续的中文文本切割成有意义的词语序列&a…

变压器中性点接地电阻柜的出厂标准是什么

变压器中性点接地电阻柜的出厂标准是什么&#xff1f; 现代电气配电系统中&#xff0c;接地电阻是保障人身安全的非常重要的设施。在高压电气设备中&#xff0c;中性点接地电阻柜的作用是限制设备中的过电流和短路故障所产生的电流&#xff0c;以保障人身安全。变压器中性点接…

杨辉三角形及其C语言实现

一、引言 杨辉三角形&#xff08;Pascal’s Triangle&#xff09;&#xff0c;又称帕斯卡三角形&#xff0c;是一个在数学中经常出现的数表。它的构造规则非常简单&#xff1a;三角形中的每个数字等于它上方两数字之和&#xff08;或者说&#xff0c;它是位于它肩上的两个数字…

开源VS闭源:大模型发展路径之争,你站哪一派?

文章目录 引言一、数据隐私1.1开源大模型的数据隐私1.2 闭源大模型的数据隐私1.3 综合考量 二、商业应用2.1 开源大模型的商业应用2.2 闭源大模型的商业应用2.3 商业应用的综合考量 三、社区参与3.1 开源大模型的社区参与3.2 闭源大模型的社区参与3.3 综合考量 结论 引言 在人…

解析“分层引流”在颅内感染治疗中的价值意义

临床中&#xff0c;化脓性颅内感染的治疗一直是界内关注的重点。近年来&#xff0c;得益于医疗技术的持续革新与提升&#xff0c;颅内感染的治疗方法也获得了不断的更新与优化。在此背景下&#xff0c;北京精诚博爱医院所倡导的“分层引流”理念&#xff0c;作为一种新兴的治疗…

外贸小白到销冠,如何30天快速提升?

外贸从业8年&#xff0c;在工厂从0-1做外贸&#xff0c;外贸的坑踩过很多&#xff0c;也做出了很多出色的业绩&#xff0c;希望这篇文章可以给到外贸新人快速提升的思路。 对于刚刚进入外贸行业的职场新人&#xff1f;应该怎么做&#xff1f; 第一个月应该学什么&#xff1f;…