渗透测试执行标准 The Penetration Testing Execution Standard
目录
Table of Contents
本文为摘录(或转载),侵删,原文为: http://www.pentest-standard.org/index.php/Main_Page
1 High Level Organization of the Standard
渗透测试执行标准 (Penetration Testing Execution Standard, PTES)由七(7)个主要部分组成。这些部分涵盖了与渗透测试相关的方方面面——从初步沟通和渗透测试的理由开始,通过情报收集和威胁建模阶段,测试人员在幕后工作以更好地理解被测试的组织,再到漏洞分析、利用和利用后阶段,在这些阶段中,测试人员的技术安全专业知识与业务理解相结合,最后到报告阶段,捕捉整个过程,以一种对客户有意义且提供最大价值的方式呈现。
这一版本可以被视为 v1.0,因为标准的核心要素已经得到巩固,并在行业内经过一年的“实地测试”。v2.0 版本正在筹备中,将在“级别”方面提供更细化的工作——即渗透测试每个元素可以执行的强度级别。由于每次渗透测试都不同,测试将涵盖从较为普通的 Web 应用程序或网络测试,到全方位的红队活动,这些级别将使组织能够定义他们期望其对手表现出的复杂程度,并使测试人员在组织最需要的领域加强测试强度。有关“级别”的初步工作可以在情报收集部分中看到。
以下是标准定义的渗透测试执行的主要部分:
- 预接洽互动: http://www.pentest-standard.org/index.php/Pre-engagement
- 情报收集 http://www.pentest-standard.org/index.php/Intelligence_Gathering
- 威胁建模 http://www.pentest-standard.org/index.php/Threat_Modeling
- 漏洞分析 http://www.pentest-standard.org/index.php/Vulnerability_Analysis
- 利用阶段 http://www.pentest-standard.org/index.php/Exploitation
- 利用后阶段 http://www.pentest-standard.org/index.php/Post_Exploitation
- 报告阶段 http://www.pentest-standard.org/index.php/Reporting
由于该标准并未提供执行实际渗透测试的技术指南,我们也创建了一份技术指南以补充该标准。可以通过以下链接访问技术指南:
欲了解有关该标准的更多信息,请访问:
- 渗透测试执行标准:常见问题解答