OWASP安全测试指南-WSTG 渗透测试

于 2023-12-11 15:17:30 发布
阅读量242 收藏 2
点赞数
分类专栏: 安全测试技术和标准 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seanyang_/article/details/134927882
版权

渗透测试方法

总结

OWASP测试指南

在技术安全测试执行方面,强烈建议使用OWASP测试指南。根据应用程序的类型,下面分别列出了 Web/云服务、移动应用程序 (Android/iOS) 或 IoT 固件的测试指南。

渗透测试执行标准

渗透测试执行标准 (PTES) 将渗透测试定义为 7 个阶段。特别是,PTES技术指南提供了有关测试程序的实践建议,以及安全测试工具的建议。

  • 参与前互动
  • 情报收集
  • 威胁建模
  • 漏洞分析
  • 开发
  • 开发后
  • 报告

PTES技术指南

PCI 渗透测试指南

支付卡行业数据安全标准 (PCI DSS) 要求 11.3 定义了渗透测试。PCI 还定义了渗透测试指南。

PCI DSS 渗透测试指南

PCI DSS 渗透测试指南提供了以下方面的指导:

  • 渗透测试组件
  • 渗透测试人员的资格
  • 渗透测试方法
  • 渗透测试报告准则

PCI DSS 渗透测试要求

PCI DSS 要求请参阅支付卡行业数据安全标准 (PCI DSS) 要求 11.3

  • 基于行业公认的方法
  • 覆盖 CDE 和关键系统
  • 包括外部和内部测试
  • 测试以验证范围缩减
  • 应用层测试
  • 网络和操作系统的网络层测试

PCI DSS 渗透测试指南

渗透测试框架

渗透测试框架 (PTF) 提供了全面的实践渗透测试指南。它还列出了每个测试类别中安全测试工具的用法。渗透测试的主要领域包括:

  • 网络足迹(侦察)
  • 发现与探测
  • 列举
  • 密码破解
  • 漏洞评估
  • AS/400 审计
  • 蓝牙特定测试
  • 思科特定测试
  • Citrix 特定测试
  • 网络骨干网
  • 特定于服务器的测试
  • VoIP安全
  • 无线渗透
  • 物理安全
  • 最终报告 - 模板

渗透测试框架

信息安全测试与评估技术指南

信息安全测试和评估技术指南(NIST 800-115)由NIST发布,其中包括下面列出的一些评估技术。

  • 复习技巧
  • 目标识别和分析技术
  • 目标漏洞验证技术
  • 安全评估规划
  • 安全评估执行
  • 测试后活动

NIST 800-115 可在此处访问

开源安全测试方法手册

开源安全测试方法手册(OSSTMM)是一种测试物理位置、工作流、人员安全测试、物理安全测试、无线安全测试、电信安全测试、数据网络安全测试和合规性的操作安全性的方法。OSSTMM 可以作为 ISO 27001 的支持参考,而不是动手或技术应用渗透测试指南。

OSSTMM 包括以下关键部分:

  • 安全分析
  • 运营安全指标
  • 信任分析
  • 工作流程
  • 人体安全测试
  • 物理安全测试
  • 无线安全测试
  • 电信安全测试
  • 数据网络安全测试
  • 合规法规
  • 使用 STAR(安全测试审计报告)进行报告

开源安全测试方法手册

引用

测试-东方不败之鸭梨
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OWASP移动应用安全测试指南中文版
Andy0214的专栏
05-30 5785
OWASP移动应用安全测试指南(MASTG)是OWASP移动应用安全(MAS)旗舰项目的一部分,是一本涵盖移动应用安全分析过程、技术和工具的综合手册,也是一套详尽的测试案例,用于验证OWASP移动应用安全验证标准(MASVS)中列出的要求,为完整和一致的安全测试提供一个基线。1、 “通用测试指南”章节包含了一套移动应用安全测试的方法论和通用漏洞分析技术。3、 “iOS测试指南”章节覆盖了 iOS 平台的移动安全性测试,包括: iOS 操作系统的概述、安全测试方法、逆向工程技术和预防,以及篡改技术和预防。
OWASP TOP 10 及防御
qq_21193587的博客
05-31 5333
什么是 OWASP TOP 10 OWASP(开放式Web应用程序安全项目)是一个开放的社区,由非营利组织 OWASP基金会支持的项目。对所有致力于改进应用程序安全的人士开放,旨在提高对应用程序安全性的认识。 其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结并更新Web应用程序中最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识。 最重要的版本 应用程序中最严重的十大风险 A1 注入漏洞 在 2013、2017 的版本中都是第一名,可见此漏洞的引入是多么的
OWASP 测试指南 4.0-测试技术解释
煜铭2011
10-12 3336
该部分提出可用于创建测试工程的各类高级测试技术。这里针对这些技术的具体实现方法并没有进行详细讨论,详情可参见后文。该部分旨在为下个后文所提出的测试框架提供上下文并突出某些技术在选择使用时应考虑的优点以及缺点。特别包括: 人工检查及复查 软件威胁建模 代码复查 渗透测试 0x01 人工检查及复查 人工检查是安全测试过程中,通过人工检查或者审核的方式对应用开发过程中...
owasp 测试指南 机翻阅读
fy8959113的博客
09-09 589
OWASP测试项目 OWASP测试项目已经开发多年。该项目的目的是帮助人们了解测试Web应用程序的内容,原因,时间,地点和方式。该项目提供了一个完整的测试框架,而不仅仅是一个简单的清单或处理应解决的问题。读者可以使用此框架作为模板来构建自己的测试程序或限定其他人的流程。测试指南详细描述了一般测试框架和在实践中实现框架所需的技术。 编写测试指南已被证明是一项艰巨的任务。获得共识和开发允许人们应用...
OWASP TOP 10 – 终极漏洞指南(2021)
热门推荐
琦彦
09-29 3万+
OWASP Top 10 是由开放 Web 应用程序安全项目 (OWASP) 建立的,该项目是一个非营利组织,可免费提供有关 Web 应用程序安全的文章和其他信息。 目录 什么是OWASP? 什么是 OWASP 前 10 名? OWASP 前 10 名名单 1.注入攻击 2. 破解认证 3. 敏感数据暴露 4. XML 外部实体 (XXE) 5. 破坏访问控制 6. 安全配置错误 7. 跨站脚本(XSS) 8. 不安全的反序列化 9.使用已知漏洞的组件 10. 日志记录和监控.
owasp测试指南v4-中文版.zip
03-04
OWASP测试指南》第四版是中国安全开发领域中不可或缺的一份参考资料,它全面地涵盖了Web应用程序的安全测试各个方面。OWASP,即开放式网络应用安全项目(Open Web Application Security Project),是一个全球性的...
OWASP移动安全测试指南-python开发
06-18
OWASP 移动安全测试指南 这是 OWASP 移动安全测试指南 (MSTG) 的官方 GitHub 存储库。 MSTG 是移动应用安全测试和逆向工程的综合手册。 它描述了用于验证 OWASP 移动应用程序验证标准 (MASVS) 中列出的控件的技术...
owasp安全测试指南
03-06
owasp安全测试指南中文版
OWASP安全测试指南第四版(中文版).pdf
05-27
OWASP 测试指南 4.0 中文版(最新版)。
WSTG(Web 应用程序安全测试OWASP - 思维导图.pdf
最新发布
10-06
OWASP(开放网络应用安全项目)的Web应用程序安全测试指南WSTG)提供了一套全面的方法论,帮助测试人员发现并修复潜在的安全漏洞。以下是对这些知识点的详细解释: 1. 项目信息收集:这是渗透测试的第一步,包括...
OWASP安全测试指南v4(英文版)
12-07
OWASP安全测试指南v4 最新版 OWASP安全测试指南v4 最新版
owasp top10测试指南
07-19
owasp 测试指南 2008 3.0全册。高清版。需要的可以下载。
OWASP测试指南(中文) v3.0
11-26
OWASP测试指南(中文) v3.0 可编辑和搜索 带目录 搜索资源的时候没有发现v4.0版本 搜索到的全部都是v3.0版本写作v4.0版本
OWASP测试指南.pdf
12-09
OWASP 代码检测指南—代码检测指南与测试指南配合使用时效果最佳。用代码检测验证应用程序通常比测试要更节 约成本。你需要为你正在工作的应用安全选择一个最有效率的信道。 总的来讲,OWASP 指南是创建和维持安全应用中一个伟大的起步。OWASP 强烈建议你能将这些手册作为应用安全 测试的一部分。
Owasp Testing Guide v4 中文版.pdf
11-04
版本 4.0 OWASP测试指南第四版比起第三版在三个方面更加改善了: 这份指南整合了另外两个旗舰级的OWASP文档:开发者指南和代码评估指南。我们重新编排了章节和测试顺序,目的就是通过测试和代码评估来达到开发者指南中描述的安全控制。 所有章节都被改进,并扩充至87个测试案例(v3版本是64个),包括4项新的章节: 身份鉴别管理测试 错误处理 密码学 客户端测试 在指南中我们希望大家不仅仅简单应用测试案例,更加鼓励安全测试人员整合和发现更多的相关测试案例。如果发现的测试案例能广泛应用,我们鼓励大家分享他们,并回馈测试指南。这将建立起更加丰富的安全知识,并将指南发展过程迭代化,而不是仅仅
OWASP 测试指南 4.0-OWASP 测试项目
煜铭2011
10-12 2238
OWASP测试项目已经发展了许多年。通过这个项目,我们希望帮助人们了解自己的Web应用程序, 什么是测试 , 为什么要测试 , 什么时间 , 在哪里 以及  如何测试 WEB应用程序。这个项目是发布一个完整的测试框架,而不是仅仅提供一个简单的漏洞检查列表或者问题的简单药方。人们可以根据需要建立自己的或符合其它进程的测试程序。测试指南详细的介绍了一般测试框架以及实践中该框架的实施技术。
OWASP固件安全性测试指南
zero
03-08 1564
原文地址 固件安全评估,英文名称firmware security testing methodology简称FSTM。该指导方法主要是为了安全研究人员、软件开发人员、顾问、爱好者和信息安全专业人员进行固件安全评估。 前景 我们基于FSTM进行测试流程如下: ID 阶段 描述 1 信息收集 固件的相关技术文档的详细使用说明 2 获取固件 使用本文中介绍的多种办法获取固件 3 分析固件 固件的功能、特性 4 提取文件系统 从固件中获取文件系统 5 分析文件系统内容 静态分析提
OWASP WebGoat---安全测试学习笔记(一)
光明矢的专栏
04-13 2万+
OWASP WebGoat---安全测试学习笔记(一)
OWASP安全编码规范快速参考指南
煜铭2011
10-09 5086
0x00 原则 概览      开发安全的软件需要对安全原则有基本的了解。虽然对于安全原则的全面评估超出了本指南的范围,但是我们还是提供了一个快速的概览。软件安全的目标是要维护信息资源的 保密性 ,  完整性 ,和 可用性 ,以确保业务的成功运作。该目标通过实施 安全控制 来实现。本指南重点介绍具体的技术控制,以 缓解 常见软件 漏洞 的发生。虽然主要的关注点是 Web应用程序及其配套的基础设施

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值