網(wǎng)絡(luò)攻擊的復(fù)雜性、殺傷力、成本和數(shù)量的增加說明了滲透測試/滲透測試的必要性，它使組織能夠積極應(yīng)對(duì)網(wǎng)絡(luò)安全。然而，滲透測試的有效性取決于組織所采用的滲透測試方法。存在不同的滲透測試方法，每種方法都有一些優(yōu)點(diǎn)、局限性和范圍。?繼續(xù)閱讀以了解最流行的 5 種滲透測試方法。

最流行的滲透測試方法

1. OWASP 滲透測試方法論

OWASP（Open Web Application Security Project）的 Web 應(yīng)用程序滲透測試方法是業(yè)界最受認(rèn)可的標(biāo)準(zhǔn)。OWASP 是一個(gè)精通的社區(qū)，全面更新最新技術(shù)和威脅形勢(shì)。它提供了一套詳盡的指南來測試現(xiàn)代 API、Web 和移動(dòng)應(yīng)用程序。它不僅包括應(yīng)用程序，還包括技術(shù)、人員和流程。

使用這種Web 應(yīng)用滲透測試方法的顯著優(yōu)勢(shì)之一是它可以無縫集成到軟件開發(fā)生命周期 (SDLC) 中并在其中使用。它為 SDLC 每個(gè)階段的測試提供了詳細(xì)的指南——從需求定義、設(shè)計(jì)、開發(fā)到部署和維護(hù)。不僅僅是滲透測試人員，任何尋求開發(fā)設(shè)計(jì)安全軟件的網(wǎng)絡(luò)開發(fā)人員或 IT 公司都可以使用這種詳細(xì)和更新的方法。

因此，OWASP 方法使?jié)B透測試人員能夠識(shí)別應(yīng)用程序中的各種漏洞。不安全的開發(fā)實(shí)踐導(dǎo)致的復(fù)雜邏輯缺陷、錯(cuò)誤配置和編碼缺陷，僅舉幾個(gè)漏洞。此外，該方法還提供了切實(shí)可行的建議來評(píng)估風(fēng)險(xiǎn)、確定問題的優(yōu)先級(jí)并加強(qiáng)安全性。鑒于龐大的用戶社區(qū)，不乏關(guān)于該方法的技術(shù)、文章、工具和指南。

2. OSSTMM

由安全和開放方法研究所 (ISECOM) 開發(fā)的開源安全測試方法或 OSSTMM 提供了一種科學(xué)的滲透測試方法。它還包括一個(gè)同行評(píng)審的框架，該框架提供了操作安全強(qiáng)度的準(zhǔn)確描述。它的創(chuàng)建是為了支持網(wǎng)絡(luò)開發(fā)團(tuán)隊(duì)。OSSTMM 被認(rèn)為是一個(gè)通用標(biāo)準(zhǔn)。

OSSTMM 建議滲透測試人員將操作安全性分解為五個(gè)不同的渠道：

• 人類安全
• 人身安全
• 無線通訊
• 電信
• 數(shù)據(jù)網(wǎng)絡(luò)

因此，它使?jié)B透測試人員能夠從不同角度查看安全操作及其許多組件，從而有效地識(shí)別安全漏洞。?這種滲透測試方法不提倡或規(guī)定要使用的任何特定協(xié)議或軟件。它通過定義一套全面的指南、最佳實(shí)踐、詳細(xì)的測試計(jì)劃、安全級(jí)別評(píng)估指標(biāo)和最終報(bào)告建議，為?執(zhí)行任何滲透測試提供了堅(jiān)實(shí)的基礎(chǔ)。

因此，滲透測試人員可以依賴這些指南并根據(jù)特定客戶的上下文、需求、業(yè)務(wù)流程、行業(yè)細(xì)節(jié)、技術(shù)和挑戰(zhàn)定制安全評(píng)估。這種方法通過使其科學(xué)、詳細(xì)、可衡量和基于事實(shí)來提高滲透測試的有效性。它使組織能夠通過綜合建議加強(qiáng)其安全態(tài)勢(shì)。?這種滲透測試方法的成功依賴于滲透測試人員的智力、知識(shí)和經(jīng)驗(yàn)水平。

3. 美國國家標(biāo)準(zhǔn)與技術(shù)研究院

NIST（美國國家標(biāo)準(zhǔn)與技術(shù)研究院）在其滲透測試方法手冊(cè)中提供了一套具體而精確的指導(dǎo)方針，以加強(qiáng)組織的整體網(wǎng)絡(luò)安全態(tài)勢(shì)。本安全手冊(cè)的最新版本強(qiáng)調(diào)了關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全并降低了網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。

這種技術(shù)滲透測試方法包括：

• 檢查方法
• 對(duì)常規(guī)目標(biāo)漏洞的評(píng)估
• 分析測試結(jié)果的建議
• 制定措施以盡量減少安全風(fēng)險(xiǎn)

遵守 NIST 滲透測試框架是一些美國企業(yè)和合作伙伴的合規(guī)標(biāo)準(zhǔn)。該框架旨在保障具有不同運(yùn)營規(guī)模的行業(yè)和組織的信息安全。

4.國際安全援助部隊(duì)

信息系統(tǒng)安全評(píng)估框架或 ISSAF 由開放信息系統(tǒng)安全組 (OISSG) 開發(fā)，是一種復(fù)雜、結(jié)構(gòu)化和專業(yè)的滲透測試方法。?眾所周知，它是一個(gè)全面的框架，涵蓋了 InfoSec 的多個(gè)方面。它仔細(xì)記錄了模擬攻擊的步驟順序，以及對(duì)每個(gè)步驟中使用的工具和預(yù)期結(jié)果的建議。它甚至推薦真實(shí)攻擊者使用的工具，以幫助在某些情況下模擬高級(jí)攻擊場景。這些指南非常細(xì)致，甚至包括在測試后報(bào)告和銷毀工件。?ISSAF 最適合面臨獨(dú)特安全挑戰(zhàn)且需要高級(jí)滲透測試方法的組織。

5. PTES框架

滲透測試方法和標(biāo)準(zhǔn) (PTES) 框架強(qiáng)調(diào)了構(gòu)建基本滲透測試的方法，以及具有高級(jí)要求的組織的高級(jí)變體。該框架詳細(xì)介紹了 從初始通信到威脅建模再到報(bào)告等各種滲透測試步驟（包括后續(xù)測試）。它使組織能夠識(shí)別最高級(jí)環(huán)境中的漏洞。它還會(huì)驗(yàn)證已識(shí)別的漏洞是否已得到適當(dāng)修復(fù)。