亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

在開展?jié)B透測試工作中，有一些非常經(jīng)典的滲透測試框架，它們提供了一套標(biāo)準(zhǔn)化的測試指導(dǎo)方針和推薦工具，幫助測試者跨不同的網(wǎng)絡(luò)和安全環(huán)境開展更有效的滲透測試。盡管企業(yè)組織也可以自行構(gòu)建測試框架，但是在大多數(shù)情況下，如果不依靠成熟的滲透測試框架來規(guī)范測試流程、測試工具和戰(zhàn)術(shù)方法，企業(yè)的滲透測試工作可能很難取得成功。

對于滲透測試工作來說，可重復(fù)性、可擴(kuò)展性以及可持續(xù)性非常重要，特別是隨著組織信息化應(yīng)用和網(wǎng)絡(luò)攻擊面的增長，借助滲透測試框架能夠最大程度消除滲透測試過程中的風(fēng)險(xiǎn)猜測和經(jīng)驗(yàn)性決策，使測試人員能夠?qū)Ｗ⒂谔嵘郎y試的質(zhì)量和效果，同時(shí)進(jìn)行安全風(fēng)險(xiǎn)的發(fā)現(xiàn)和研究。

測試框架原理和步驟

滲透測試框架的工作原理是指導(dǎo)滲透測試人員使用正確的工具和方法進(jìn)行滲透測試，具體取決于計(jì)劃進(jìn)行的滲透測試類型和測試范圍。一旦滲透測試人員開始啟動(dòng)滲透測試和白帽黑客攻擊活動(dòng)，他們應(yīng)該參照滲透測試框架，以評估他們在測試過程中需要使用的戰(zhàn)術(shù)類別和效果。

完成滲透測試后，滲透測試人員應(yīng)繼續(xù)使用框架來進(jìn)一步評估和報(bào)告測試中的發(fā)現(xiàn)，特別是與主要戰(zhàn)術(shù)類別相關(guān)的發(fā)現(xiàn)，將環(huán)境恢復(fù)到滲透測試之前的設(shè)置狀態(tài)也很重要。

不同的滲透測試框架工作方式略有不同，具體取決于使用者的主要測試需求，但大多數(shù)框架都遵循類似的測試步驟，幫助組織高效、全面地完成滲透測試流程，以下是滲透測試框架通常遵循的一些常見步驟：

1. 初始規(guī)劃和準(zhǔn)備：框架指導(dǎo)組織確定他們的滲透測試人員、將使用的滲透測試框架和方法、對測試和報(bào)告結(jié)果的期望、任何法律或合規(guī)要求，以及進(jìn)行成功測試所需的任何工具或資源。
2. 情報(bào)和信息收集：在滲透測試框架的開發(fā)和選擇過程中，應(yīng)盡早收集的信息包括資產(chǎn)所有權(quán)范圍、網(wǎng)絡(luò)目標(biāo)、漏洞利用、任何涉及的第三方、網(wǎng)絡(luò)端口、IP地址、相關(guān)員工姓名和財(cái)產(chǎn)位置。在某些情況下，此階段也稱為發(fā)現(xiàn)、測試、掃描或評估階段。
3. 攻擊階段：滲透測試人員開始攻擊，并根據(jù)框架預(yù)定義的戰(zhàn)術(shù)類別評估系統(tǒng)的性能。
4. 攻擊后階段：滲透測試人員或網(wǎng)絡(luò)安全專家團(tuán)隊(duì)確保測試環(huán)境的資產(chǎn)和功能恢復(fù)到原始狀態(tài)。
5. 報(bào)告結(jié)果：測試框架用于根據(jù)所使用的工具和戰(zhàn)術(shù)類別性能闡述結(jié)果。

框架中的戰(zhàn)術(shù)類別和方法

典型的滲透測試框架都會明確列出滲透測試人員應(yīng)使用的戰(zhàn)術(shù)類別，以便在滲透測試過程中從多個(gè)方面評估網(wǎng)絡(luò)安全性能。不過每個(gè)框架會使用自己特定的術(shù)語和方法來定義戰(zhàn)術(shù)類別，以下是一些在滲透測試框架中最常見的戰(zhàn)術(shù)類別：

1. 信息收集
2. 命令和控制
3. 憑證/信息訪問
4. 防御規(guī)避能力和策略
5. 風(fēng)險(xiǎn)發(fā)現(xiàn)和信息收集
6. 模擬攻擊執(zhí)行
7. 泄露/竊取
8. 橫向移動(dòng)
9. 實(shí)現(xiàn)持久化駐留
10. 權(quán)限提升

一般來說，滲透測試框架主要用于使?jié)B透測試工作更加全面和有效，但是也會有一些不同的使用案例。以下是滲透測試框架的一些最常見使用方式：

• 漏洞評估和管理；
• 實(shí)現(xiàn)主動(dòng)網(wǎng)絡(luò)安全防護(hù)的道德黑客活動(dòng)；
• 防御性網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估；
• 發(fā)現(xiàn)、探測和偵察；
• 安全缺陷和風(fēng)險(xiǎn)枚舉；
• 網(wǎng)絡(luò)安全和合規(guī)審計(jì)。

7款主流的滲透測試框架

借助成熟的滲透測試方法和框架，不僅可以大大簡化測試工作的難度，而且會取得更好的測試效果。以下收集了7款目前最流行的滲透測試框架和方法，可以為企業(yè)組織更有效開展?jié)B透測試工作提供幫助。

01

Cobalt Strike

Cobalt Strike是一種幫助安全紅隊(duì)指揮測試和操作的框架，也是目前最受企業(yè)歡迎的滲透測試框架之一。該框架全面包括了攻擊模擬、事件響應(yīng)指導(dǎo)和社會工程能力等。用戶可以選擇借助Community Kit倉庫，對Cobalt Strike進(jìn)行定制修改，還可以與Fortra提供的滲透測試軟件Core Impact整合，進(jìn)一步擴(kuò)展其測試功能。

傳送門：https://www.cobaltstrike.com/

02

Metasploit

Metasploit是一款由Rapid7和開源社區(qū)協(xié)作設(shè)計(jì)的滲透測試框架。它的一些典型功能特性包括1500個(gè)漏洞利用工具、網(wǎng)絡(luò)發(fā)現(xiàn)、處理網(wǎng)絡(luò)分段測試和自動(dòng)化測試的元模塊，并提供了基準(zhǔn)審計(jì)報(bào)告、手動(dòng)利用漏洞以及憑據(jù)蠻力破解等選項(xiàng)。用戶可以選擇免費(fèi)的開源版Metasploit或功能更豐富的付費(fèi)專業(yè)版。

傳送門：

https://www.metasploit.com/

03

NIST?Cybersecurity Framework

NIST的網(wǎng)絡(luò)安全框架（CSF）是一種測試功能選項(xiàng)非常廣泛的滲透測試框架，專注于驗(yàn)證各種網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的標(biāo)準(zhǔn)、最佳實(shí)踐和指導(dǎo)方針。該框架主要有五大功能：識別、保護(hù)、檢測、響應(yīng)和恢復(fù)。由于這是一種來自美國商務(wù)部的標(biāo)準(zhǔn)化測試框架，因此被全球很多企業(yè)用戶作為了網(wǎng)絡(luò)安全測試和合規(guī)審計(jì)的指導(dǎo)方針之一。

傳送門：

https://www.nist.gov/cyberframework

04

開源安全測試方法手冊（OSSTMM）

OSSTMM框架是由美國安全和開放方法研究所（ISECOME）開發(fā)，它目前并不僅限于基本的測試功能，已變成了可用于廣泛安全測試和分析的一套完整方法論。在其詳細(xì)指南中，全面涵蓋了測試的流程、戰(zhàn)術(shù)和方法，還向用戶提供了如何定義安全測試并確定范圍、演練規(guī)則、錯(cuò)誤處理和結(jié)果披露等方面的信息。

傳送門：

https://www.isecom.org/OSSTMM.3.pdf

05

滲透測試執(zhí)行標(biāo)準(zhǔn)（PTES）

滲透測試執(zhí)行標(biāo)準(zhǔn)（PTES）是另一個(gè)非常受歡迎的滲透測試框架，目前已經(jīng)發(fā)展成為一種完整的滲透測試方法論。該框架全面涵蓋了滲透測試的溝通和基本原理、情報(bào)收集、威脅建模、漏洞研究、利用和攻擊后階段以及測試報(bào)告提交。盡管在目前版本的PTES指南中，并沒有涉及如何進(jìn)行滲透測試相關(guān)的討論，但該團(tuán)隊(duì)已經(jīng)開發(fā)了一個(gè)技術(shù)指南文檔來補(bǔ)充支持這個(gè)方面的工作。PTES的第二個(gè)更新版目前正在制定中。

傳送門：

http://www.pentest-standard.org/index.php/Main_Page

06

開放Web應(yīng)用程序安全項(xiàng)目（OWASP）

OWASP（全球開放應(yīng)用軟件安全項(xiàng)目組織）也推出了一款持續(xù)滲透測試框架，目前還處于測試應(yīng)用狀態(tài)，不過OWASP已為對該框架的正式發(fā)布和應(yīng)用功能感興趣的用戶提供了明確的時(shí)間路線圖。與其他框架的不同在于，OWASP滲透測試框架側(cè)重于面向信息安全和應(yīng)用程序安全滲透測試的標(biāo)準(zhǔn)、指導(dǎo)方針和工具。

傳送門：

https://owasp.org/www-project-continuous-penetration-testing-framework/

07

滲透測試者框架（PTF）

TrustedSec公司推出的PenTesters Framework（PTF）滲透測試框架在很大程度上基于Penetration Testing Execution Standard標(biāo)準(zhǔn)來執(zhí)行。它旨在使相關(guān)測試工具的安裝和打包更加簡潔，因此也被認(rèn)為是高度可定制和可配置的一款測試框架。用戶可以通過Linux命令下載使用，或直接通過Git來下載安裝。

來源：安全牛