一、渗透测试方法论
黑盒(外部)测试,白盒(内部)测试
脆弱性评估和渗透测试,渗透测试不仅识别目标弱点,还涉及在目标系统上进行漏洞利用、权限提升等,渗透测试可能对生产环境带来实际的破坏性影响,而脆弱性评估(漏洞扫描)则旨在以非入侵的方式找出目标系统中存在的安全漏洞,渗透测试比脆弱性评估价格要高。
著名的安全评估方法论:
▶开源安全测试方法论OSSTMM(6个标准种类)
◆ 盲测:对抗竞赛
◆ 双盲测试:黑盒审计,渗透测试
◆ 灰盒测试:脆弱性评估
◆ 双灰盒测试: 白盒审计
◆ 串联测试:
◆ 逆向测试:
▶信息系统安全评估框架ISSAF
▶开放式Web应用安全项目OWASP
▶Web应用安全联合威胁分类
▶渗透测试执行标准
◆ 事前互动
◆ 情报收集
◆ 威胁建模
◆ 漏洞分析
◆ 漏洞利用
◆ 深度利用
◆ 书面报告