渗透测试方法
总结
- OWASP测试指南
- Web 安全测试指南 (WSTG)
- 移动安全测试指南 (MSTG)
- 固件安全测试方法
- 渗透测试执行标准
- PCI 渗透测试指南
- 渗透测试框架
- 信息安全测试与评估技术指南
- 开源安全测试方法手册
- 引用
OWASP测试指南
在技术安全测试执行方面,强烈建议使用OWASP测试指南。根据应用程序的类型,下面分别列出了 Web/云服务、移动应用程序 (Android/iOS) 或 IoT 固件的测试指南。
渗透测试执行标准
渗透测试执行标准 (PTES) 将渗透测试定义为 7 个阶段。特别是,PTES技术指南提供了有关测试程序的实践建议,以及安全测试工具的建议。
- 参与前互动
- 情报收集
- 威胁建模
- 漏洞分析
- 开发
- 开发后
- 报告
PCI 渗透测试指南
支付卡行业数据安全标准 (PCI DSS) 要求 11.3 定义了渗透测试。PCI 还定义了渗透测试指南。
PCI DSS 渗透测试指南
PCI DSS 渗透测试指南提供了以下方面的指导:
- 渗透测试组件
- 渗透测试人员的资格
- 渗透测试方法
- 渗透测试报告准则
PCI DSS 渗透测试要求
PCI DSS 要求请参阅支付卡行业数据安全标准 (PCI DSS) 要求 11.3
- 基于行业公认的方法
- 覆盖 CDE 和关键系统
- 包括外部和内部测试
- 测试以验证范围缩减
- 应用层测试
- 网络和操作系统的网络层测试
渗透测试框架
渗透测试框架 (PTF) 提供了全面的实践渗透测试指南。它还列出了每个测试类别中安全测试工具的用法。渗透测试的主要领域包括:
- 网络足迹(侦察)
- 发现与探测
- 列举
- 密码破解
- 漏洞评估
- AS/400 审计
- 蓝牙特定测试
- 思科特定测试
- Citrix 特定测试
- 网络骨干网
- 特定于服务器的测试
- VoIP安全
- 无线渗透
- 物理安全
- 最终报告 - 模板
信息安全测试与评估技术指南
信息安全测试和评估技术指南(NIST 800-115)由NIST发布,其中包括下面列出的一些评估技术。
- 复习技巧
- 目标识别和分析技术
- 目标漏洞验证技术
- 安全评估规划
- 安全评估执行
- 测试后活动
NIST 800-115 可在此处访问
开源安全测试方法手册
开源安全测试方法手册(OSSTMM)是一种测试物理位置、工作流、人员安全测试、物理安全测试、无线安全测试、电信安全测试、数据网络安全测试和合规性的操作安全性的方法。OSSTMM 可以作为 ISO 27001 的支持参考,而不是动手或技术应用渗透测试指南。
OSSTMM 包括以下关键部分:
- 安全分析
- 运营安全指标
- 信任分析
- 工作流程
- 人体安全测试
- 物理安全测试
- 无线安全测试
- 电信安全测试
- 数据网络安全测试
- 合规法规
- 使用 STAR(安全测试审计报告)进行报告