世界頂尖的資訊安全(滲透式)測試國際業界標準、方法、範本

世界頂尖的資訊安全(滲透式)測試方法範本

這篇文章主要介紹幾個資訊安全測試相關業界的範本參考。

站在巨人的肩膀上學習，看看這些業界共同的資訊安全測試與設計範本。

由於這些範本因為由許多顧問、業界、學界等共同撰寫而成，

因此提供資訊安全測試與設計一個較完整的全貌。

也讓資訊安全測試與設計有比較容易遵循的方法與流程。

讓我們站在巨人的肩膀看看這些業界的範本。

Open Web Application Security Project Testing Guide (OWASP) ***筆者建議
- (https://www.owasp.org/)
Common Weakness Enumeration (CWE) ***筆者建議
- (https://cwe.mitre.org/)
Penetration Testing Execution Standard (PTES) **筆者建議
- (http://www.pentest-standard.org/index.php/Main_Page)
Penetration Test Framework (PTF) ***筆者建議
- (http://www.vulnerabilityassessment.co.uk/Penetration%20Test.html)
Open Source Security Testing Methodology Manual (OSSTMM)
- http://www.isecom.org/research/osstmm.html
Information Systems Security Assessment Framework (ISSAF)
NIST SP800-115 Technical Guide to Information Security Testing and Assessment
- http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf

1. Open Source Security Testing Methodology Manual (OSSTMM)

http://www.isecom.org/research/osstmm.html

http://www.isecom.org/mirror/OSSTMM.3.pdf

這份文件 OSSTMM主要說明資訊安全測試的方法論。

如果你預期要知道駭客工具的方法與工具，那麼這份文件會讓你失望。

但是如果你希望多了解資訊安全測試的原理、方法論或是理論，這份文件很值得參考。

哪筆者自己呢? 筆者自己較不常參考這份文件，因為在實務測試上會有些知其然但是實作會不知道怎麼進行。

2. Information Systems Security Assessment Framework (ISSAF)

http://www.oissg.org/issaf/

這個網站目前維護中。暫時無進一步資訊。

3. Open Web Application Security Project (OWASP)

(https://www.owasp.org/index.php/OWASP_Testing_Project)

這個是筆者最推薦的業界實務範本。因為 OWASP提供許多實務上的資訊安全測試與設計的參考範本。例如：

這些都是實務上可以套用，而且相關的範本也不斷的更新。因此OWASP所提供相關的範本極為實用。

4. Common Weakness Enumeration (CWE)

https://cwe.mitre.org/

http://www.sans.org/top25-software-errors/

CWE 主要提供已知的弱點。其中 Top 25指出軟體常見設計的資訊安全漏洞，還有相關程式碼範本可以參考。

整份 CWE 技術文件可以到此下載

https://cwe.mitre.org/data/published/cwe_v2.8.pdf

5. Penetration Testing Execution Standard(PTES)

http://www.pentest-standard.org/index.php/Main_Page

http://www.pentest-standard.org/index.php/PTES_Technical_Guidelines#Dig

PTES 主要針對資訊安全滲透性測試提供一個測試流程方法。廣泛的介紹每一種資訊安全測試可以使用的工具。

例如 Web Application Scanners 來說，

3.1.3.1 General Web Application Scanners

6. Penetration Test Framework (PTF)

PTF 筆者認為這個 Test Framework 也是駭客必備! 因為PTF提供每一種駭客攻擊行為可以使用的工具。例如：密碼破解來說

Password cracking

Rainbow crack
- ophcrack
- rainbow tables
  - rcrack c:\rainbowcrack\*.rt -f pwfile.txt
Ophcrack
Cain & Abel
John the Ripper
- ./unshadow passwd shadow > file_to_crack
- ./john -single file_to_crack
- ./john -w=location_of_dictionary_file -rules file_to_crack
- ./john -show file_to_crack
- ./john –incremental:All file_to_crack
fgdump
- fgdump [-t][-c][-w][-s][-r][-v][-k][-l logfile][-T threads] {{-h Host | -f filename} -u Username -p Password | -H filename} i.e. fgdump.exe -u hacker -p hard_password -c -f target.txt
pwdump6
- pwdump [-h][-o][-u][-p] machineName

http://apps.testinsane.com/mindmaps/uploads/html/INSANE%20Android%20Application%20PenTest%20-%20Security%20Testing%20Mindmap.html

https://www.mindmeister.com/70567774/penetration-testing-execution-standard

M	T	W	T	F	S	S
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30

軟體品管的專業思維

網路與病毒分析、資訊安全測試、安全自動化測試資料庫與網站效能調教 tony@qa-knowhow.com。FB粉絲專頁 https://www.facebook.com/QA.KnowHow

世界頂尖的資訊安全(滲透式)測試國際業界標準、方法、範本

世界頂尖的資訊安全(滲透式)測試方法範本

1. Open Source Security Testing Methodology Manual (OSSTMM)

2. Information Systems Security Assessment Framework (ISSAF)

3. Open Web Application Security Project (OWASP)

4. Common Weakness Enumeration (CWE)

5. Penetration Testing Execution Standard(PTES)

6. Penetration Test Framework (PTF)

Leave a Reply Cancel reply

世界頂尖的資訊安全(滲透式)測試方法範本

1. Open Source Security Testing Methodology Manual (OSSTMM)

2. Information Systems Security Assessment Framework (ISSAF)

3. Open Web Application Security Project (OWASP)

4. Common Weakness Enumeration (CWE)

5. Penetration Testing Execution Standard(PTES)

6. Penetration Test Framework (PTF)

Related Posts

Leave a Reply Cancel reply