世界頂尖的資訊安全(滲透式)測試國際業界標準、方法、範本

世界頂尖的資訊安全(滲透式)測試方法範本

這篇文章主要介紹幾個資訊安全測試相關業界的範本參考。

站在巨人的肩膀上學習,看看這些業界共同的資訊安全測試與設計範本。

由於這些範本因為由許多顧問、業界、學界等共同撰寫而成,

因此提供資訊安全測試與設計一個較完整的全貌。

也讓資訊安全測試與設計有比較容易遵循的方法與流程。

讓我們站在巨人的肩膀看看這些業界的範本。

1. Open Source Security Testing Methodology Manual (OSSTMM)

http://www.isecom.org/research/osstmm.html

http://www.isecom.org/mirror/OSSTMM.3.pdf

這份文件 OSSTMM主要說明資訊安全測試的方法論。

如果你預期要知道駭客工具的方法與工具,那麼這份文件會讓你失望。

但是如果你希望多了解資訊安全測試的原理、方法論或是理論,這份文件很值得參考。

哪筆者自己呢? 筆者自己較不常參考這份文件,因為在實務測試上會有些知其然但是實作會不知道怎麼進行。

 

2. Information Systems Security Assessment Framework (ISSAF)

http://www.oissg.org/issaf/

這個網站目前維護中。暫時無進一步資訊。

 

3. Open Web Application Security Project (OWASP)

(https://www.owasp.org/index.php/OWASP_Testing_Project)

這個是筆者最推薦的業界實務範本。因為 OWASP提供許多實務上的資訊安全測試與設計的參考範本。例如:

這些都是實務上可以套用,而且相關的範本也不斷的更新。因此OWASP所提供相關的範本極為實用。

4. Common Weakness Enumeration (CWE)

https://cwe.mitre.org/

http://www.sans.org/top25-software-errors/

CWE 主要提供已知的弱點。其中 Top 25指出軟體常見設計的資訊安全漏洞,還有相關程式碼範本可以參考。

整份 CWE 技術文件可以到此下載

https://cwe.mitre.org/data/published/cwe_v2.8.pdf

 

5. Penetration Testing Execution Standard(PTES)

http://www.pentest-standard.org/index.php/Main_Page

http://www.pentest-standard.org/index.php/PTES_Technical_Guidelines#Dig

PTES 主要針對資訊安全滲透性測試提供一個測試流程方法。廣泛的介紹每一種資訊安全測試可以使用的工具。

例如 Web Application Scanners 來說,

 

6. Penetration Test Framework (PTF)

PTF 筆者認為這個 Test Framework 也是駭客必備! 因為PTF提供每一種駭客攻擊行為可以使用的工具。例如:密碼破解來說

Password cracking

 

http://apps.testinsane.com/mindmaps/uploads/html/INSANE%20Android%20Application%20PenTest%20-%20Security%20Testing%20Mindmap.html

https://www.mindmeister.com/70567774/penetration-testing-execution-standard

 

Leave a Reply

Your email address will not be published.