Я делал на основе этого

http://rghost.ru/6zV85SZqx

Ну, если это не одноразовая работа, то начни как сам считаешь нужным, далее сам увидишь какую информацию будут у тебя дополнительно запрашивать, в след.раз включи её в отчет.

Юра Гольцев в журнале Хакер про это писал, погугли.

Забыл как то про его (Гольцева) статью

Вот тот самый выпуск.

http://rghost.ru/797shzJ85

В принципе все достаточно стандартно...

- Введение

...зачем проверяли?

...как проверяли?

- Что проверяли (описать объект)

- Общая оценка на основе найденного

- Тут можно расписывать найденные уязвимости начиная с критичных

желательно включать уязвимый участок, вектор, пример эксплуатации, из за чего возникает

- Как устранить

Ну вот внутренние отчеты у меня в виде

что проверяли

тип уязвимости

PoC

как лечить.

Но руководство сказало, что для внешних отчетов такой формат не солиден потому, что маленький объем документа получается. Все зависит от того, для кого ты проводить тестирование.

Тоже интересна тема составления официальных отчетов... Нужно ли давать ссылки и расшифровывать понятия? Есть ли готовые примеры на Google.Doc? Заранее спасибо!

Я привожу ссылки на CVE или описание OWASP и ничего не сокращаю.