滲透測試標準有哪些

• 開源安全測試方法論（OSSTMM）

  開源安全測試方法論（Open Source Security Testing Methodology Manual，OSSTMM）是由Pete Herzog 創建，繼而由ISECOM發展的測試方法論。它是國際公認的安全測試和安全分析標準。很多企業正在他們的日常評估工作中應用這一標準。以技術的角度看，這一方法論把安全評估工作劃分為 4 組：

  • 范圍（scope）

    “范圍”指代評估人員收集被測單位全部資產相關信息的工作。

  • 信道（channel）

    “信道”則是這些資產之間的通信方式和互動類型，包括物理方式、光學方式和其他方式的通信。每個信道都構成了一套獨特的安全組件，都要在評估階段進行測試和驗證。這些組件包括物理安全、人類心理學、數據網絡、無線通信介質和電信設施。

  • 索引（index）

    所謂“索引”，泛指特定資產和相應ID的對應關系。例如，審計人員常常要明確MAC地址和IP地址的對應關系，就是為了整理一種索引。

  • 矢量（vector）

    而“矢量”指的是審計人員訪問和分析功能性資產的方式。以上幾個部分，組成了全面評估被測IT運營環境的整個技術流程，被稱為審計范疇（audit scope）。

• Web應用安全聯合威脅分類（WASC-TC）

  Web 應用安全聯合威脅分類（Web Application Security Consortium Threat Classification，WASC-TC）是這樣的一個評估Web 應用程序安全性的開放標準。與OWASP標準相似，它也從攻擊和弱點兩方面討論安全問題，但這一標準以更為深入的方式解決安全隱患。要識別、驗證應用程序所面臨的各種威脅，就要遵循標準化的工作流程。WASC-TC可以迅速適用于各種技術環境，有著顯著的易用性。整體上說，它能夠幫助開發人員和安全審計人員以不同的視圖了解Web應用程序面臨的安全威脅。WASC將Web應用安全威脅分為六大類：

  • Authentication(驗證)：用來確認用戶，服務或是應用身份的攻擊手段

  • Authorization(授權)：用來決定是否某用戶、服務或是應用具有執行請求動作必要權限的攻擊手段

  • Client-Side Attack(客戶端攻擊)：用來擾亂或是探測Web站點用戶的攻擊手段 eg. 繞過

  • Command Execution(命令執行)：在Web站點上執行遠程命令的攻擊手段

  • Information Disclosure(信息泄露)：用來獲取Web站點具體系統信息的攻擊手段

  • Logical Attack(邏輯性攻擊）：用來擾亂或是探測Web應用邏輯流程的攻擊手段

• 滲透測試執行標準（PTES）

  滲透測試執行標準（Penetration Testing Execution Standard，PTES） 它的核心理念是通過建立起進行滲透測試所要求的基本準則基線定義一次真正的滲透測試過程，得到了安全業界的廣泛認同。其中滲透測試階段是用來定義滲透測試過程，并確保客戶組織能夠以一種標準化的方式來擴展一次滲透測試，而無論是由誰來執行這種類型的評估。該標準將滲透測試過程分為七個階段，前期交互階段、情報搜集階段 、威脅建模階段、漏洞分析階段、滲透攻擊階段、后滲透攻擊階段、報告階段，并在每個階段中定義不同的擴展級別，而選擇哪種級別則由被攻擊測試的客戶組織所決定。

• 信息系統安全評估框架（ISSAF）

  信息系統安全評估框架（Information SystemsSecurity Assessment Framework，ISSAF）是另外一種開放源代碼的安全性測試和安全分析框架。為了解決安全評估工作的邏輯順序問題，該框架以分為若干個領域（domain），不同領域評估目標系統的不同部分，且可以根據實際情況對每個領域進行相應調整，把這一構架與日常業務的生命周期相結合，可以充分滿足企業安全測試的精準性，完整性，高效性的需求。

  ISSAF兼顧了安全測試的技術層面和管理層面，在技術方面，他有一整套關鍵的規則和程序，形成了一套完備的評估程序，在管理層面，它明確了在整個測試過程中應當遵循的管理要擇和最佳實踐。ISSAF主張安全評估是一個過程，而不是一次審計。

  ISSAF具有靈活和高效的特點，是審計工作各個階段的通用準則，可適用于所有企業結構，ISSAF可用于滲透測試各種技術和不同流程，但框架需頻繁更新，相對而言OSSTMM受技術更新影響的幅度較小，可以和OSSTMM或其他測試方法論一起使用。

• 開放式web應用安全項目（OWASP）

  開放式Web應用程序安全項目（Open Web Application Security Project，OWASP） 是一個開源的、非盈利的全球性安全組織，致力于應用軟件的安全研究。其使命是使應用軟件更加安全，使企業和組織能夠對應用安全風險作出更清晰的決策。OWASP TOP 10漏洞：

  • TOP1-注入

  • TOP2-失效的身份認證和會話管理

  • TOP3-跨站XSS

  • TOP4-不安全的對象直接引用

  • TOP5-偽造跨站請求（CSRF）

  • TOP6-安全誤配置

  • TOP7-限制URL訪問失敗（缺少功能級訪問控制）

  • TOP8-未驗證的重定向和轉發

  • TOP9-應用已知脆弱性的組件

  • TOP10-敏感信息暴露

回答所涉及的環境：聯想天逸510S、Windows 10。