對于網絡安全領域的攻擊端, 進行滲透測試的方式幾乎是無限多的。由于在進行滲透測試時需要考慮的重要事情數量非常龐大, 因此一般人很難進行覆蓋面廣且有效的滲透測試。

因此, 出現了越來越多的滲透測試框架來幫助人們完成各種測試需求, 在本文中, 將介紹一些比較先進成熟的滲透測試框架標準。

OWASP滲透測試指南簡介

由于滲透測試的技術種類多種多樣, 作為攻擊端的測試者, 提供統一的產品非常困難, 而作為攻擊端的安全從業人員, 標準化滲透測試可以幫助我們將測試標準化為可重復、一致的測試方法，但并非所有的滲透測試方法都專注于相同類型的測試, 因此需要分解一下頂級測試框架。

開放式Web應用程序安全項目(OWASP)基金會(https://owasp.org/)是一個非營利性、社區驅動的組織。它負責跟蹤和發布最新的Web應用程序安全風險、漏洞和滲透測試方法。OWASP測試指南主要關注Web應用程序及其相關技術。它為Web應用程序測試人員提供了跨多種途徑定義漏洞的分布式指南方針。

OWASP測試指南總體步驟包括以下內容:

• 信息收集
• 配置和部署管理測試
• 身份管理測試
• 認證測試
• 授權測試
• 會話管理測試
• 輸入驗證測試
• 錯誤處理測試
• 弱密碼測試
• 業務邏輯測試
• 客戶端測試
• API測試
• 生成專業報告

OWASP被認為是所有類型Web應用程序滲透測試的黃金標準。組織可以在Web應用程序的開發生命周期中受益于遵循OWASP指南,以確保安全性融入應用程序的配置當中。

當測試重點關注 Web 應用程序時，Web 應用程序測試的綜合方法使 OWASP 指南比其他滲透測試方法具有顯著優勢。當要確保我們和客戶端Web應用程序、審核和安全評估是處于安全狀態時，執行該標準將非常有用。

此外，OWASP還為社區提供其他項目和指南。OWASP基金會每年會針對當年影響Web應用程序環境的漏洞維護和更新OWASP Top 10的漏洞列表,。除此之外, OWASP基金會還維護 SAMM、安全編碼指南、OWASP 移動應用程序安全（移動應用程序測試指南）和 OWASP Zed 應用程序代理（開源 Web 應用程序掃描儀）等項目。

Top10:https://owasp.org/www-project-top-ten/

滲透測試執行標準(PTES)

滲透測試執行標準(PTES)(http://www.pentest-standard.org/index.php/Main_Page)是一個用于標準化滲透測試的開源框架。PTES由行業領先的安全從業者社區驅動, 使其對不同的測試項目具有廣泛的適用性。

PTES的主要目的是為測試人員提供一個系統化的流程來識別和測試安全漏洞以及如何適當的減輕這些風險。

PTES在其框架內有七個主要階段:

• 參與前互動
• 信息收集
• 威脅建模
• 漏洞分析
• 開發
• 后利用
• 生成報告

PTES可用于內部、外部和無線滲透測試。它對信息收集和威脅建模的關注可以讓組織定制其滲透測試來解決其特定的基礎設施, 這種方式可以提供非常有益的結果。

NIST特別出版物800-115

美國國家標準與技術研究所(NIST)(https://csrc.nist.gov/pubs/sp/800/115/final)是美國政府機構, 從攻擊和防御的角度推動技術標準和指南, NIST特別出版物800-115是一項涵蓋從參與設置到測試后活動的正確滲透測試指南。

NIST特別出版物800-115指導測試人員對組織環境進行全面徹底的安全評估, 它概述了測試安全控制的測試方法和不同技術。

其步驟包括:

• 規劃和準備
• 測試的執行
• 分析和報告
• 基于風險的方法
• 與風險管理整合

當安全測試的目標是滿足合規性或監管要求時，NIST SP 800-115 特別有利于目標組織。正式審核在評估組織時通常會參考NIST，利用 SP 800-115可以主動解決審核期間可能出現的任何問題。

NIST SP 800-115 被網絡安全行業和國際政府廣泛認可 為安全最佳實踐的良好基準。熟悉這些準則甚至對其進行測試可以為組織的安全狀況奠定堅實的基礎。

ISSAF滲透測試框架

ISSAF滲透測試框架(https://untrustednetwork.net/files/issaf0.2.1.pdf)由OISSG組織牽頭。盡管不再直接支持或維護它，但它提供了一種有效的滲透測試總體方法。

ISSAF 框架旨在為測試人員提供全面的方法來識別漏洞、測試漏洞以及清理測試后留下的任何痕跡。

ISSAF 將其滲透步驟分為三個不同的階段，每個階段都有特定的步驟列表。這些包括：

第一階段：規劃和準備

• 與利益相關者和測試團隊的溝通
• 確定范圍和方法
• 關于測試用例和升級路徑的協議

第二階段：評估

• 信息收集
• 網絡映射
• 漏洞識別
• 滲透
• 初始訪問和權限升級
• 后利用
• 路線覆蓋

第三階段：報告、清理和痕跡銷毀

• 生成報告
• 刪除滲透測試工具包
• 清除痕跡(文件/目錄)

與其他滲透測試框架一起，ISSAF 可用于評估組織環境的安全性。然而，ISSAF 在對現有系統進行重大更改后特別有用，因為它強調清理遺留的痕跡 ，以確保系統在評估期間和之后仍然安全地保持正常運行。

ISSAF 還通過將步驟分解為分階段的方法，提供獨特的滲透測試布局；如果喜歡這種類型的分解，那么遵循指南可能會更容易。

ISSAF 確定滲透測試期間要解決的不同測試層，可以在整個評估過程中提供結構良好的方法。即使在經過強大的滲透測試后，它還可以幫助確保網絡保持安全。

CREST滲透測試方法

CREST團隊設計了CREST滲透測試方法（CPTM）；CREST 代表注冊道德安全測試員委員會。這個非營利性國際組織提供內部和外部滲透測試的培訓和指導。(https://www.crest-approved.org/wp-content/uploads/2022/04/CREST-Penetration-Testing-Guide-1.pdf)

CPTM 旨在提供標準且全面的滲透測試方法，特別是針對CREST注冊滲透測試人員。(https://www.crest-approved.org/skills-certifications-careers/crest-registered-penetration-tester/)它可以指導您對網絡和應用程序進行全面評估。

CREST的滲透測試方法包括以下步驟：

• 事前參與
• 情報收集
• 威脅建模
• 漏洞分析
• 開發
• 后利用
• 報告
• 審查

**CPTM 可以為內部、外部和無線測試提供可靠的滲透測試指導，而這些測試在其他滲透測試方法中并沒有得到太多關注。

MITRE（ATT&CK)

MITRE 公司多年來為道德黑客世界提供了充足的支持，其對抗策略、技術和常識 (ATT&CK)(https://attack.mitre.org/） 框架可以說是最著名的。MITRE ATT&CK 可以從偵察到后利用的整個過程中分解當前和之前的進攻性安全攻擊。

MITRE ATT&CK 旨在提供一個全面且結構化的模型來理解對抗策略和技術。此外，它還可以對不同攻擊進行準確分類，以更好地了解攻擊殺傷鏈。

MITRE ATT&CK 框架是獨特的，因為它不像其他方法那樣遵循既定的步驟。相反，它更多地充當信息矩陣，涵蓋網絡攻擊在影響組織時可能經歷的大量階段。

可以在滲透測試的每個攻擊階段使用 MITRE ATT&CK 作為參考點。參考特定攻擊技術、采用不熟悉的策略或探索其他攻擊選項的能力能夠進行真正全面的評估。

MITRE ATT&CK 可以為滲透測試人員，特別是紅隊人員，提供對不同攻擊類型的極其詳細的知識。這使得滲透測試人員能夠針對可能在其他測試類型中被忽視的更專業的技術進行測試。其相對較新的 MITRE D3FEND 框架(https://d3fend.mitre.org/) 還為網絡安全領域的防御方提供指導。

OSSTMM開源安全測試方法手冊

OSSTMM開源安全測試方法手冊(https://www.isecom.org/OSSTMM.3.pdf) 由安全與開放方法研究所 (ISECOM) 開發。OSSTMM 的開發是全面的、定量的、透明的和教育性的。

盡管OSSTMM提供了進行結構化和標準化安全評估的指導，但OSSTMM側重于在測試后生成可行的指標。這可以提供一個很好的起點，為組織提供有意義的測試后報告和建議。

OSSTMM 的框架為：

• 事前參與
• 情報收集
• 威脅分析
• 漏洞分析
• 開發
• 后利用
• 分析和報告

可以使用OSSTMM作為指導來進行結構化、完整的滲透測試。此外，當測試的目標是為組織提供詳細的結果報告以進行徹底的測試后活動時，OSSTMM 會特別有用。

對道德、測量和指標的重視為測試團隊和組織利益相關者之間的信任奠定了堅實的基礎。如果團隊是外部/第三方的，這一點尤其重要。OSSTMM 還提供有關物理安全的指導 ，并且可以極大地有益于涉及此類活動的參與。

總結

遵循滲透測試方法為人們提供了一種標準化形式，這對于在組織內繼續實踐攻擊技術非常重要。方法還可以防止由于滲透測試中涉及許多不同的活動而錯過關鍵測試或領域。