1.3.5　报告

报告阶段是渗透测试过程的最后阶段，将汇总在目标（测试范围内）中发现的每个漏洞。报告的漏洞将根据通用漏洞评分系统（CVSS）定义的严重性级别列出，CVSS是一个用于漏洞评估的免费、开放的标准。

作为渗透测试人员，我们需要知道这个阶段对于客户而言非常重要。测试人员在客户的系统上所做的所有工作都应以结构化格式进行报告。报告应包括关于测试的简短介绍、测试范围、测试规则、简洁明了的摘要、发现的漏洞以及每个漏洞的PoC，并从参考链接中提供一些建议和修复方案。

有一些公开的工具，例如Serpico、Magic Tree、BurpSuite和Acunetix，可以帮助简化报告过程。由于这是渗透测试的重要阶段，因此在测试过程中发现的所有详细信息都应在报告中体现。

我们可以提供两种不同类型的报告：适合管理层的摘要报告和适合技术团队的技术报告。这可以帮助组织的管理人员和技术团队理解并修复渗透测试人员发现的漏洞。