對于網(wǎng)絡(luò)安全領(lǐng)域的攻擊端, 進(jìn)行滲透測試的方式幾乎是無限多的。由于在進(jìn)行滲透測試時需要考慮的重要事情數(shù)量非常龐大, 因此一般人很難進(jìn)行覆蓋面廣且有效的滲透測試。

因此, 出現(xiàn)了越來越多的滲透測試框架來幫助人們完成各種測試需求, 在本文中, 將介紹一些比較先進(jìn)成熟的滲透測試框架標(biāo)準(zhǔn)。

OWASP滲透測試指南簡介

由于滲透測試的技術(shù)種類多種多樣, 作為攻擊端的測試者, 提供統(tǒng)一的產(chǎn)品非常困難, 而作為攻擊端的安全從業(yè)人員, 標(biāo)準(zhǔn)化滲透測試可以幫助我們將測試標(biāo)準(zhǔn)化為可重復(fù)、一致的測試方法，但并非所有的滲透測試方法都專注于相同類型的測試, 因此需要分解一下頂級測試框架。

開放式Web應(yīng)用程序安全項目(OWASP)基金會(https://owasp.org/)是一個非營利性、社區(qū)驅(qū)動的組織。它負(fù)責(zé)跟蹤和發(fā)布最新的Web應(yīng)用程序安全風(fēng)險、漏洞和滲透測試方法。OWASP測試指南主要關(guān)注Web應(yīng)用程序及其相關(guān)技術(shù)。它為Web應(yīng)用程序測試人員提供了跨多種途徑定義漏洞的分布式指南方針。

OWASP測試指南總體步驟包括以下內(nèi)容:

• 信息收集
• 配置和部署管理測試
• 身份管理測試
• 認(rèn)證測試
• 授權(quán)測試
• 會話管理測試
• 輸入驗證測試
• 錯誤處理測試
• 弱密碼測試
• 業(yè)務(wù)邏輯測試
• 客戶端測試
• API測試
• 生成專業(yè)報告

OWASP被認(rèn)為是所有類型Web應(yīng)用程序滲透測試的黃金標(biāo)準(zhǔn)。組織可以在Web應(yīng)用程序的開發(fā)生命周期中受益于遵循OWASP指南,以確保安全性融入應(yīng)用程序的配置當(dāng)中。

當(dāng)測試重點關(guān)注 Web 應(yīng)用程序時，Web 應(yīng)用程序測試的綜合方法使 OWASP 指南比其他滲透測試方法具有顯著優(yōu)勢。當(dāng)要確保我們和客戶端Web應(yīng)用程序、審核和安全評估是處于安全狀態(tài)時，執(zhí)行該標(biāo)準(zhǔn)將非常有用。

此外，OWASP還為社區(qū)提供其他項目和指南。OWASP基金會每年會針對當(dāng)年影響Web應(yīng)用程序環(huán)境的漏洞維護(hù)和更新OWASP Top 10的漏洞列表,。除此之外, OWASP基金會還維護(hù) SAMM、安全編碼指南、OWASP 移動應(yīng)用程序安全（移動應(yīng)用程序測試指南）和 OWASP Zed 應(yīng)用程序代理（開源 Web 應(yīng)用程序掃描儀）等項目。

Top10:https://owasp.org/www-project-top-ten/

滲透測試執(zhí)行標(biāo)準(zhǔn)(PTES)

滲透測試執(zhí)行標(biāo)準(zhǔn)(PTES)(http://www.pentest-standard.org/index.php/Main_Page)是一個用于標(biāo)準(zhǔn)化滲透測試的開源框架。PTES由行業(yè)領(lǐng)先的安全從業(yè)者社區(qū)驅(qū)動, 使其對不同的測試項目具有廣泛的適用性。

PTES的主要目的是為測試人員提供一個系統(tǒng)化的流程來識別和測試安全漏洞以及如何適當(dāng)?shù)臏p輕這些風(fēng)險。

PTES在其框架內(nèi)有七個主要階段:

• 參與前互動
• 信息收集
• 威脅建模
• 漏洞分析
• 開發(fā)
• 后利用
• 生成報告

PTES可用于內(nèi)部、外部和無線滲透測試。它對信息收集和威脅建模的關(guān)注可以讓組織定制其滲透測試來解決其特定的基礎(chǔ)設(shè)施, 這種方式可以提供非常有益的結(jié)果。

NIST特別出版物800-115

美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)(https://csrc.nist.gov/pubs/sp/800/115/final)是美國政府機(jī)構(gòu), 從攻擊和防御的角度推動技術(shù)標(biāo)準(zhǔn)和指南, NIST特別出版物800-115是一項涵蓋從參與設(shè)置到測試后活動的正確滲透測試指南。

NIST特別出版物800-115指導(dǎo)測試人員對組織環(huán)境進(jìn)行全面徹底的安全評估, 它概述了測試安全控制的測試方法和不同技術(shù)。

其步驟包括:

• 規(guī)劃和準(zhǔn)備
• 測試的執(zhí)行
• 分析和報告
• 基于風(fēng)險的方法
• 與風(fēng)險管理整合

當(dāng)安全測試的目標(biāo)是滿足合規(guī)性或監(jiān)管要求時，NIST SP 800-115 特別有利于目標(biāo)組織。正式審核在評估組織時通常會參考NIST，利用 SP 800-115可以主動解決審核期間可能出現(xiàn)的任何問題。

NIST SP 800-115 被網(wǎng)絡(luò)安全行業(yè)和國際政府廣泛認(rèn)可 為安全最佳實踐的良好基準(zhǔn)。熟悉這些準(zhǔn)則甚至對其進(jìn)行測試可以為組織的安全狀況奠定堅實的基礎(chǔ)。

ISSAF滲透測試框架

ISSAF滲透測試框架(https://untrustednetwork.net/files/issaf0.2.1.pdf)由OISSG組織牽頭。盡管不再直接支持或維護(hù)它，但它提供了一種有效的滲透測試總體方法。

ISSAF 框架旨在為測試人員提供全面的方法來識別漏洞、測試漏洞以及清理測試后留下的任何痕跡。

ISSAF 將其滲透步驟分為三個不同的階段，每個階段都有特定的步驟列表。這些包括：

第一階段：規(guī)劃和準(zhǔn)備

• 與利益相關(guān)者和測試團(tuán)隊的溝通
• 確定范圍和方法
• 關(guān)于測試用例和升級路徑的協(xié)議

第二階段：評估

• 信息收集
• 網(wǎng)絡(luò)映射
• 漏洞識別
• 滲透
• 初始訪問和權(quán)限升級
• 后利用
• 路線覆蓋

第三階段：報告、清理和痕跡銷毀

• 生成報告
• 刪除滲透測試工具包
• 清除痕跡(文件/目錄)

與其他滲透測試框架一起，ISSAF 可用于評估組織環(huán)境的安全性。然而，ISSAF 在對現(xiàn)有系統(tǒng)進(jìn)行重大更改后特別有用，因為它強(qiáng)調(diào)清理遺留的痕跡 ，以確保系統(tǒng)在評估期間和之后仍然安全地保持正常運(yùn)行。

ISSAF 還通過將步驟分解為分階段的方法，提供獨(dú)特的滲透測試布局；如果喜歡這種類型的分解，那么遵循指南可能會更容易。

ISSAF 確定滲透測試期間要解決的不同測試層，可以在整個評估過程中提供結(jié)構(gòu)良好的方法。即使在經(jīng)過強(qiáng)大的滲透測試后，它還可以幫助確保網(wǎng)絡(luò)保持安全。

CREST滲透測試方法

CREST團(tuán)隊設(shè)計了CREST滲透測試方法（CPTM）；CREST 代表注冊道德安全測試員委員會。這個非營利性國際組織提供內(nèi)部和外部滲透測試的培訓(xùn)和指導(dǎo)。(https://www.crest-approved.org/wp-content/uploads/2022/04/CREST-Penetration-Testing-Guide-1.pdf)

CPTM 旨在提供標(biāo)準(zhǔn)且全面的滲透測試方法，特別是針對CREST注冊滲透測試人員。(https://www.crest-approved.org/skills-certifications-careers/crest-registered-penetration-tester/)它可以指導(dǎo)您對網(wǎng)絡(luò)和應(yīng)用程序進(jìn)行全面評估。

CREST的滲透測試方法包括以下步驟：

• 事前參與
• 情報收集
• 威脅建模
• 漏洞分析
• 開發(fā)
• 后利用
• 報告
• 審查

**CPTM 可以為內(nèi)部、外部和無線測試提供可靠的滲透測試指導(dǎo)，而這些測試在其他滲透測試方法中并沒有得到太多關(guān)注。

MITRE（ATT&CK)

MITRE 公司多年來為道德黑客世界提供了充足的支持，其對抗策略、技術(shù)和常識 (ATT&CK)(https://attack.mitre.org/） 框架可以說是最著名的。MITRE ATT&CK 可以從偵察到后利用的整個過程中分解當(dāng)前和之前的進(jìn)攻性安全攻擊。

MITRE ATT&CK 旨在提供一個全面且結(jié)構(gòu)化的模型來理解對抗策略和技術(shù)。此外，它還可以對不同攻擊進(jìn)行準(zhǔn)確分類，以更好地了解攻擊殺傷鏈。

MITRE ATT&CK 框架是獨(dú)特的，因為它不像其他方法那樣遵循既定的步驟。相反，它更多地充當(dāng)信息矩陣，涵蓋網(wǎng)絡(luò)攻擊在影響組織時可能經(jīng)歷的大量階段。

可以在滲透測試的每個攻擊階段使用 MITRE ATT&CK 作為參考點。參考特定攻擊技術(shù)、采用不熟悉的策略或探索其他攻擊選項的能力能夠進(jìn)行真正全面的評估。

MITRE ATT&CK 可以為滲透測試人員，特別是紅隊人員，提供對不同攻擊類型的極其詳細(xì)的知識。這使得滲透測試人員能夠針對可能在其他測試類型中被忽視的更專業(yè)的技術(shù)進(jìn)行測試。其相對較新的 MITRE D3FEND 框架(https://d3fend.mitre.org/) 還為網(wǎng)絡(luò)安全領(lǐng)域的防御方提供指導(dǎo)。

OSSTMM開源安全測試方法手冊

OSSTMM開源安全測試方法手冊(https://www.isecom.org/OSSTMM.3.pdf) 由安全與開放方法研究所 (ISECOM) 開發(fā)。OSSTMM 的開發(fā)是全面的、定量的、透明的和教育性的。

盡管OSSTMM提供了進(jìn)行結(jié)構(gòu)化和標(biāo)準(zhǔn)化安全評估的指導(dǎo)，但OSSTMM側(cè)重于在測試后生成可行的指標(biāo)。這可以提供一個很好的起點，為組織提供有意義的測試后報告和建議。

OSSTMM 的框架為：

• 事前參與
• 情報收集
• 威脅分析
• 漏洞分析
• 開發(fā)
• 后利用
• 分析和報告

可以使用OSSTMM作為指導(dǎo)來進(jìn)行結(jié)構(gòu)化、完整的滲透測試。此外，當(dāng)測試的目標(biāo)是為組織提供詳細(xì)的結(jié)果報告以進(jìn)行徹底的測試后活動時，OSSTMM 會特別有用。

對道德、測量和指標(biāo)的重視為測試團(tuán)隊和組織利益相關(guān)者之間的信任奠定了堅實的基礎(chǔ)。如果團(tuán)隊是外部/第三方的，這一點尤其重要。OSSTMM 還提供有關(guān)物理安全的指導(dǎo) ，并且可以極大地有益于涉及此類活動的參與。

總結(jié)

遵循滲透測試方法為人們提供了一種標(biāo)準(zhǔn)化形式，這對于在組織內(nèi)繼續(xù)實踐攻擊技術(shù)非常重要。方法還可以防止由于滲透測試中涉及許多不同的活動而錯過關(guān)鍵測試或領(lǐng)域。