1.什麼是滲透測試
滲透測試是一種實施安全評估(即審計)的一種手段。我們進行滲透測試的主要目的是:評估網絡、系統、應用三者組合使用下的安全狀況。
兩種最為廣泛的滲透測試類型:黑盒測試和白盒測試
2.脆弱性評估與滲透測試的差別
脆弱性評估和滲透測試最大的差別:滲透測試不僅要識别目标弱點,還設計目标系統上進行漏洞利用、權限提升、通路維護。且滲透測試傾向于入侵,刻意使用技術手段,利用安全漏洞,而脆弱性評估是用非侵入性手段,定性,定量的識别已知安全漏洞。
3.安全測試方法論
注意:安全狀态是一個持續變化的過程,我們的滲透測試與脆弱性評估僅可保證系統被測一刻的安全狀态
安全測試方法論主要包含以下幾種類型,并且其中1,2兩種方法論最為常用。
1)開源安全測試方法論
2)資訊系統安全評估架構
3)開放式web應用安全項目
4)滲透測試執行标準
5)Web應用安全聯合威脅分類
1)開源安全測試方法論(OSSTMM)
開源測試方法論把安全評估工作劃分為四個組:範圍、信道、索引、矢量
範圍:評估人員手機被測機關的全部資産的相關資訊工作
信道:資産之間的通信方式,信道包含多種多樣的形式:實體方式,光學方式,和其他通信方式。每個信道都構成了一套獨特的安全元件,都要在評估階段進行測試和驗證。元件主要包含:實體安全、人類心理學、資料網絡、無線通信媒體、電信設施等。
索引:泛指與特定資産和相應ID對應關系。eg:MAC位址與IP位址對應關系。
矢量:審計人員通路和分析功能性資産的方式
OSSTMM測試體系的測試方法,通過審查控制安全、流程安全、資料控制、實體位置、周界防護、安全意識水準、信任關系、反欺詐控制等手段,全面評估被測機關安全性。
OSSTMM引入RAV(Risk Assessment Value,風險評估值)概念,量化系統安全性。RAV基于營運安全、損耗控制、局限程度的标稱值來計算安全标稱值。
————————————————
版權聲明:本文為CSDN部落客「python小白1991」的原創文章,遵循 CC 4.0 BY-SA 版權協定,轉載請附上原文出處連結及本聲明。
原文連結:
https://blog.csdn.net/weixin_39901032/article/details/102893002![TestLink導出用例轉換工具(XML2Excel)[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)