渗透测试的标准有哪些
开源安全测试方法论(OSSTMM)
开源安全测试方法论(Open Source Security Testing Methodology Manual,OSSTMM)是由Pete Herzog 创建,继而由ISECOM发展的测试方法论。它是国际公认的安全测试和安全分析标准。很多企业正在他们的日常评估工作中应用这一标准。以技术的角度看,这一方法论把安全评估工作划分为 4 组:
范围(scope)
“范围”指代评估人员收集被测单位全部资产相关信息的工作。
信道(channel)
“信道”则是这些资产之间的通信方式和互动类型,包括物理方式、光学方式和其他方式的通信。每个信道都构成了一套独特的安全组件,都要在评估阶段进行测试和验证。这些组件包括物理安全、人类心理学、数据网络、无线通信介质和电信设施。
索引(index)
所谓“索引”,泛指特定资产和相应ID的对应关系。例如,审计人员常常要明确MAC地址和IP地址的对应关系,就是为了整理一种索引。
矢量(vector)
而“矢量”指的是审计人员访问和分析功能性资产的方式。以上几个部分,组成了全面评估被测IT运营环境的整个技术流程,被称为审计范畴(audit scope)。
Web应用安全联合威胁分类(WASC-TC)
Web 应用安全联合威胁分类(Web Application Security Consortium Threat Classification,WASC-TC)是这样的一个评估Web 应用程序安全性的开放标准。与OWASP标准相似,它也从攻击和弱点两方面讨论安全问题,但这一标准以更为深入的方式解决安全隐患。要识别、验证应用程序所面临的各种威胁,就要遵循标准化的工作流程。WASC-TC可以迅速适用于各种技术环境,有着显著的易用性。整体上说,它能够帮助开发人员和安全审计人员以不同的视图了解Web应用程序面临的安全威胁。WASC将Web应用安全威胁分为六大类:
Authentication(验证):用来确认用户,服务或是应用身份的攻击手段
Authorization(授权):用来决定是否某用户、服务或是应用具有执行请求动作必要权限的攻击手段
Client-Side Attack(客户端攻击):用来扰乱或是探测Web站点用户的攻击手段 eg. 绕过
Command Execution(命令执行):在Web站点上执行远程命令的攻击手段
Information Disclosure(信息泄露):用来获取Web站点具体系统信息的攻击手段
Logical Attack(逻辑性攻击):用来扰乱或是探测Web应用逻辑流程的攻击手段
渗透测试执行标准(PTES)
渗透测试执行标准(Penetration Testing Execution Standard,PTES) 它的核心理念是通过建立起进行渗透测试所要求的基本准则基线定义一次真正的渗透测试过程,得到了安全业界的广泛认同。其中渗透测试阶段是用来定义渗透测试过程,并确保客户组织能够以一种标准化的方式来扩展一次渗透测试,而无论是由谁来执行这种类型的评估。该标准将渗透测试过程分为七个阶段,前期交互阶段、情报搜集阶段 、威胁建模阶段、漏洞分析阶段、渗透攻击阶段、后渗透攻击阶段、报告阶段,并在每个阶段中定义不同的扩展级别,而选择哪种级别则由被攻击测试的客户组织所决定。
信息系统安全评估框架(ISSAF)
信息系统安全评估框架(Information SystemsSecurity Assessment Framework,ISSAF)是另外一种开放源代码的安全性测试和安全分析框架。为了解决安全评估工作的逻辑顺序问题,该框架以分为若干个领域(domain),不同领域评估目标系统的不同部分,且可以根据实际情况对每个领域进行相应调整,把这一构架与日常业务的生命周期相结合,可以充分满足企业安全测试的精准性,完整性,高效性的需求。
ISSAF兼顾了安全测试的技术层面和管理层面,在技术方面,他有一整套关键的规则和程序,形成了一套完备的评估程序,在管理层面,它明确了在整个测试过程中应当遵循的管理要择和最佳实践。ISSAF主张安全评估是一个过程,而不是一次审计。
ISSAF具有灵活和高效的特点,是审计工作各个阶段的通用准则,可适用于所有企业结构,ISSAF可用于渗透测试各种技术和不同流程,但框架需频繁更新,相对而言OSSTMM受技术更新影响的幅度较小,可以和OSSTMM或其他测试方法论一起使用。
开放式web应用安全项目(OWASP)
开放式Web应用程序安全项目(Open Web Application Security Project,OWASP) 是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。其使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。OWASP TOP 10漏洞:
TOP1-注入
TOP2-失效的身份认证和会话管理
TOP3-跨站XSS
TOP4-不安全的对象直接引用
TOP5-伪造跨站请求(CSRF)
TOP6-安全误配置
TOP7-限制URL访问失败(缺少功能级访问控制)
TOP8-未验证的重定向和转发
TOP9-应用已知脆弱性的组件
TOP10-敏感信息暴露