写渗透测试报告时"assumptions"指的是什么?
What does "assumptions" refer to when writing a pentest report?
我必须写渗透测试报告的 “假设” 部分,但我无法理解我应该写什么。我检查了多份渗透测试报告(来自 https://github.com/juliocesarfort/public-pentesting-reports),但其中 none 有这一段。
我还发现了这个解释“以防渗透测试人员之前或之前考虑的一些假设在测试期间,需要在报告中清楚地显示假设。提供假设将有助于报告听众理解为什么渗透测试遵循特定方向。”,但我仍然认为它更适合 “攻击叙述”。
你能给我一个小的例子(对于一个动作,情况)这样我就可以确切地知道它应该如何写吗?
我认为“假设”段落和“攻击叙述”段落在某种程度上是重叠的。我会使用“假设”段落来陈述在开始攻击之前做出的几个高层决策,以及渗透测试人员在攻击中可能掌握的任何信息。我将扩展“攻击叙述”段落中使用的工具和技术
例如,假设可以是:
“pentester 正在对一家少于 5 人的 soho 公司的基础设施进行测试。soho 公司通常使用通常不安全的消费网络设备,并将其配置为默认值。因此,攻击者专注于扫描对于 http 和 ssh,使用供应商默认用户名和密码的数据库
我必须写渗透测试报告的 “假设” 部分,但我无法理解我应该写什么。我检查了多份渗透测试报告(来自 https://github.com/juliocesarfort/public-pentesting-reports),但其中 none 有这一段。
我还发现了这个解释“以防渗透测试人员之前或之前考虑的一些假设在测试期间,需要在报告中清楚地显示假设。提供假设将有助于报告听众理解为什么渗透测试遵循特定方向。”,但我仍然认为它更适合 “攻击叙述”。
你能给我一个小的例子(对于一个动作,情况)这样我就可以确切地知道它应该如何写吗?
我认为“假设”段落和“攻击叙述”段落在某种程度上是重叠的。我会使用“假设”段落来陈述在开始攻击之前做出的几个高层决策,以及渗透测试人员在攻击中可能掌握的任何信息。我将扩展“攻击叙述”段落中使用的工具和技术
例如,假设可以是: “pentester 正在对一家少于 5 人的 soho 公司的基础设施进行测试。soho 公司通常使用通常不安全的消费网络设备,并将其配置为默认值。因此,攻击者专注于扫描对于 http 和 ssh,使用供应商默认用户名和密码的数据库