滲透測試報告自動生成工具 -- Savior

一、工具介紹

在安服仔的日子里，發現下面的人輸出的滲透測試報告結果不規范，主要在報告質量、內容、字體、及修復方案中存在諸多問題，而且大部分安服仔需要對每次的項目結果進行統計整理，方便后續跟蹤復測。因此研發了Savior-滲透測試報告輔助生成系統，起這個名字也是為了拯救大多數逗逼滲透測試工程師，告別繁瑣的滲透測試報告編寫過程及漏洞統計過程。這是一個菜狗?通宵一年寫的菜雞?項目。。。

二、安裝及使用方法

1、首先將代碼clone到本地

git clone https://github.com/Mustard404/Savior.git

2、修改配置文件

首先復制根目錄的.env.docker并重命名為.env，修改其中的Email Settings和initial Administrator配置。這兩個配置分別控制郵件提醒，以及初始管理帳號密碼及郵箱。同時需要注意以下兩點：務必把郵箱修改為自己郵箱，不然可能會出現非預期錯誤！如果使用阿里云、騰訊云服務器，請使用smtp的ssl協議，兩家云廠商默認封禁了25端口。

3、一鍵啟動

docker-compose up -d

訪問 http://127.0.0.1:8000 即可看到頁面。

4、修改啟動端口

如果想修改啟動端口，可以修改docker-compose.yaml文件中web容器的ports。默認為8000:8000，比如要修改為8080端口可改為8080:8000。

不知道為啥好多人部署出現登入500錯誤，請一定要檢查郵箱配置正確！！！！！！！Bilibili視頻教程如下：

https://www.bilibili.com/video/BV1QL4y1v7gg？share_source=copy_web

5、用戶管理

訪問Django管理后臺：http://127.0.0.1:8000/api/admin/, 請完善API>用戶的Name、Avatar、Autosentmail三個字段，分別控制報告的作者、頭像（圖片Url）、生成報告后自動發送滲透測試報告到郵箱。

6、項目管理

訪問Django管理后臺：http://127.0.0.1:8000/api/admin/，請通過API>Projects進行添加項目，可根據不通項目選擇不通的滲透測試報告模板。參數說明：Project logo（項目Logo）、Project center（項目名稱）、Project description（項目描述）、Project template（滲透測試報告模板，目前標準模板可使用Demo/demo.docx，如需自定義模板，請參考模版自定義部分）

7、整改設置

訪問http://127.0.0.1:8000 可進入Savior平臺，通過個人設置>整改設置>添加漏洞模板可進行設置漏洞類型、漏洞描述、修復建議從而達到標準化。目前整理了一些通用的修復建議模板，請參考Demo/常規WEB滲透測試漏洞描述及修復方法.docx。

8、創建報告

如果我們完善了用戶信息、項目管理、整改設置后，就可以通過前端頁面進行創建報告，其大概流程如下：首先完善報告的基本信息。

9、漏洞列表

訪問Savior平臺，選擇漏洞列表可進行漏洞統計并進行漏洞復測。其中漏洞包含三個狀態（新發現、已修復、未修復）

項目作者：Mustard404