软件测试培训之四种通过渗透测试识别威胁的常用方法

软件测试培训之四种通过渗透测试识别威胁的常用方法

1. OWASP(开放式Web应用安全项目)

OWASP是一个致力于通过从高到低列举十大威胁，来增强软件系统安全性的实体。它汇集了来自全球各地的技术专家，他们不断分享着有关威胁和攻击的各种洞见。而OWASP Top10(十大漏洞)则是一套定期更新的知名文档。它突出展示了Web应用可能面临的10大最关键的威胁。其中包括：注入、失效的身份认证、敏感信息的泄漏、XML外部实体(XXE)，访问控制的破坏，安全配置的错误，跨站脚本XSS，不安全的反序列化，使用具有已知漏洞的组件，以及日志记录和监控的不到位。

2. PCI DSS(支付卡行业数据安全标准)

作为一组合同义务，PCI DSS旨在确保所有处理、存储或传输信用卡信息的组织，都能够维护一个安全的环境。它在全球范围内，被视为一种黄金标准，可被用来确保组织内各种付款类相关信息的安全性。

该标准不但提升了客户的信任度，而且有助于防止那些轻度违规事件，所导致的敏感信息的丢失。毕竟这些对于支付场景而言，都是至关重要的。

3. OSSTMM(开源安全测试方法)

作为一个开源的安全测试手册，OSSTMM每六个月会定期更新一次，以反映最新的网络威胁。它旨在通过一个系统性的、科学的过程，协助用户获取可靠的渗透测试报告，分析各种漏洞，红队行为，以及其他安全类活动。

OSSTMM所包含的测试范围包括：人员安全、物理安全、无线安全、电信安全、以及数据网络安全等测试。它能够无缝地与您当前用到的各种安全测试协议相连接。

4. ISSAF(信息系统安全评估框架)

ISSAF旨在评估系统、应用控制和网络的安全性。它是由一个结构化的九步走组成。其中包括：收集信息，映射网络，识别漏洞，渗透，获取基本访问权限，提权，维持访问权限，破坏远程用户与站点，隐藏测试者的数字“足迹”。

客观而言，此类渗透测试与其他常用方法相比，略显复杂。