31、专业安全测试:OSSTMM 方法解析

最新推荐文章于 2025-08-19 15:49:01 发布
最新推荐文章于 2025-08-19 15:49:01 发布
阅读量69 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Google搜索技巧与安全渗透测试 文章标签: OSSTMM 安全测试 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/c6d7e8f9g/article/details/150058756

专业安全测试:OSSTMM 方法解析

安全测试至关重要,它要求我们对达成最终结果的每一个步骤都有清晰的认知,并且理解为何要采取这些步骤。我们需要明确得出的结论,并找到足够的证据来支撑这些结论。最终结果也许令人印象深刻,也许不然,但无论如何,其生成依靠的并非艺术创作,而是一套科学的方法。

开放方法的诞生

2001 年 12 月,当我们在谷歌上搜索安全测试方法、渗透测试方法或道德黑客方法时,得到的答案几乎如出一辙:“使用我们内部专有的安全测试方法进行尽可能完善的测试”。这种所谓的内部专有方法,本质上就是“我们按自己的方式行事,但不能透露具体方式,因为这是专有技术”。这一现象揭示了安全测试领域存在的严重缺陷。

为了解决这一问题,开源安全测试方法手册(OSSTMM)的概念应运而生。数百人参与到这个项目中,他们既提出批评意见,也给予鼓励。每一条反馈都让这个方法不断完善。最终,作为唯一一种自下而上(而非自上而下基于政策)进行安全测试的公开方法,OSSTMM 受到了全球政府机构和军队的关注。同时,对于那些希望通过公开来源向客户保证其安全测试服务质量的小型安全初创企业来说,它也取得了巨大成功。如今,OSSTMM 印章已成为安全测试报告的标准,被国际上大多数政府审计机构所认可。

最初,OSSTMM 托管在 ideahamster.org 域名下,吸引了众多被称为“ideahamsters”的贡献者的稳定流量,这些人就像轮子上的仓鼠一样不断产生新想法。随着 OSSTMM 的日益流行,该组织及其名称也面临着发展的压力。2002 年 11 月,ideahamster 宣布更名为 ISECOM,即安全与开放方法研究所。到 2003 年 1 月,ISECOM 在西班牙和美国注册为非营利组

订阅专栏 解锁全文 会员秒杀 ¥9.9 重磅福利 超级会员免费看
从SDLC到DevSecOps的转变
Criss@陈磊
11-29 598
开发&测试阶段:在开发评审阶段完成后,RD将进行针对本次需求的代码开发和自测/联调,这时我们也可以提供一些用来自测安全风险的工具,比如白盒安全扫描工具,将白盒安全扫描工具作为一个插件融入研发流水线中,每次RD在push代码到开发分支后,自动触发流水线进行白盒安全扫描,查看有无安全漏洞,若发现安全漏洞则发送工单提供给安全工程师(Sec)进行Review以确认是否需立即修复,同时安全漏洞也会block测试环境部署及后续合码操作,以此保证自测阶段的安全测试效果。2022年11月22日。
[网络安全学习篇49]:渗透测试方法
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
04-24 5006
引言:我的系列博客[网络安全学习篇]上线了,小编也是初次创作博客,经验不足;对千峰网络信息安全开源的视频公开课程的学习整理的笔记整理的也比较粗糙,其实看到目录有300多集的时候,讲道理,有点怂了,所以我就想到了通过写博客(课程笔记)的形式去学习它,虽然写博客会让我多花几倍的时间去学习它,但是当我完成一篇博客所获得的成就感和你们对于我的认同感,让我很满足,能够鼓励我一天天的坚持下去,也希望和我一起学...
OSSTMM3.0(The Open Source Security Testing Methodology Manual)
04-25
The Open Source Security Testing Methodology Manual
网络安全——安全测试方法
weixin_68789096的博客
04-17 1659
为满足安全评估的相应需求,人们已经总结出了多种开源方法论。无论被评估目标的规模有多大,复杂性有多高,只要应用这些安全评估的方法论,就可以策略性地完成各种时间要求苛刻、富有挑战性的安全评估任务。某些方法论专注于安全测试的技术方面,有些则关注管理领域。只有极少数的方法论能够同时兼顾技术因素和管理因素。在评估工作中实践这些方法论,基本上都是按部就班地执行各种测试,以精确地判断被测试系统的安全状况。推荐几种著名的安全评估方法论。
渗透测试 --- 方法
daibaohui的博客
02-21 1355
渗透测试(penetration testing,pentest)是实施安全评估(即审计)的具体手段。方法论是在制定、实施信息安全审计方案时,需要遵循的规则、惯例和过程。人们在评估网络、应用、系统或三者组合的安全状况时,不断摸索各种务实的理念和成熟的做法,并总结出了一套理论——测试方法论。本章简要介绍了渗透测试方法论的各关键要点,涉及的主题包括: ● 两种广为认知的渗透测试类型——黑盒测试和白盒测试; ● 漏洞评估和渗透测试的区别; ● 业界普遍采纳的安全测试方法论,以及其核心功能、特征和优势; ●
OSSTMM安全测试技术概述--开源安全测试方法手册
四盘山博客
08-31 4942
原创]OSSTMM安全测试技术概述--开源安全测试方法手册   开源安全测试方法手册OSSTMM 经过多年持续的更新及改善 ,已经成为安全界主流的安全测试技术框架;但国内尚无详细说明文档可供参考。笔者将自己对于OSSTMM的学习及实践心得进行整理,形成了这篇说明文档,供安全同行参考     1   引言 为了保障企业信息系统安全,在处理安全问题,进行风险管理时
渗透测试 | 渗透测试之信息收集
ytt0523_com的博客
12-09 1084
渗透测试(penetration test,pentest)是实施安全评估(即审计)的具体手段。
34、专业安全测试OSSTMM 方法解析
2y3u4i5o6p的博客
07-28 106
本文详细解析专业安全测试中的OSSTMM方法论,涵盖了安全问题的分类(漏洞、弱点、暴露、关注点和异常)、损失控制的十种类型,以及OSSTMM方法论的流程和模块化测试内容。同时,文章还分析了安全问题分类的关联性与重要性、损失控制的实际应用,并探讨了OSSTMM的优势与挑战,为企业提供全面的安全测试指导。
31安全测试方法解析OSSTMM 的应用与价值
flower的专栏
08-19 65
本文深入解析了开源安全测试方法手册(OSSTMM)的应用与价值,介绍了其作为标准化安全测试方法的核心理念、特点与实践场景。通过分析安全存在的五个渠道以及量化运营安全、实际安全和损失控制的具体方式,文章展示了OSSTMM如何帮助组织全面评估其安全状况。同时,结合实际案例,探讨了OSSTMM在不同场景下的应用方法,并总结了其优势与局限性,为未来安全测试的发展提供了展望。
渗透测试的理论部分2——OSSTMM的详细描述
04-05 1110
昨天休息了一天,今天我要连更两篇博客,作为补充,以下为正文 本章详细描述了OSSTMM内的RAV得分这一理论概念,对日后从事正规安全工作至关重要 OSSTMM为开源安全测试方法论,对OSSTMM不了解的同学可以看我之前发的渗透测试的理论部分1——渗透测试方法OSSTMM推广的技术评估框架十分灵活,即使某个项目在逻辑上可分为三个连续的信道与安全组件,我们照样可以使用OSS...
渗透测试概述·什么是渗透测试
yy1715713348的博客
11-15 2088
渗透测试(penetration test,pentest)是实施安全评估(即审计)的具体手段。渗透测试可能是单独进行的一项工作,也可能是常规研发生命周期(例如,Microsoft SDLC)里 IT 安全风险管理的一个组成部分。产品的安全性并不完全取决于 IT 方面的技术因素,还会受到与该产品有关的最佳安全实践的影响。具体而言,增强产品安全性的工作涉及安全需求分析、风险分析、威胁建模、代码审查和运营安全。通常认为,渗透测试是安全评估最终的也是最具侵犯性的形式,它必须由符合资质的专业人士实施。
网络安全渗透测试指导框架
01-21
最全面的网络安全渗透测试框架(指导性程序)。含 1、OSSTMM 3.0(截止目前最新) 2、NIST-800 3、ISSAF 4、OWASP 5、WASC-TC(V2.0)
高级基础设施渗透测试(一)
龙哥盟
07-28 722
高级基础设施渗透测试为您提供了进行渗透测试和评估企业安全状况所需的核心技能和技术。本书包含了利用现代信息技术基础设施的关键技术,提供了实际的经验。每一章都将带您了解攻击向量和系统防御,从基础知识到最新的前沿技术和实用工具。安全是所有规模、所有行业的企业和组织的关键关注点。信息安全是一套流程、工具、政策和系统,用于保护免受可能损害或破坏信息资产的内部和外部威胁。本书是实践性的,旨在带领您掌握真实世界的技术,使您能够获得所需和高度需求的技能,从而进入新的渗透测试职业水平。
5 Best Open Source Testing Tools(5个自动化测试开源软件)
iSelenium
05-09 1108
原文:https://www.bistasolutions.com/resources/blogs/5-best-open-source-testing-tools/In almost every software industry, Quality Analysis plays an integral role in the better delivery of the product. And...
网络安全渗透测试执行标准
王孙小蛮的自留地
09-25 6400
一件事情总有千万种解决方案,其中更优的哪一种就是标准,渗透测试也是一样,目前渗透测试流程标准有以下几种:1、安全测试方法学开源手册 由ISECOM安全与公共方法学研究所制定,安全测试方法学开源手册(OSSTMM)提供物理安全,人类心理学,数据网络,无线通信媒介和电讯通信这五类渠道非常细致的测试用例,同时给出评估安全测试结果的指标标准。 OSSTMM的特色在于非常注重技术的细节,这使其成为一个具有
elasticsearch-7.17.22-linux-x86-64.tar.gz分享给需要的同学
12-08
elasticsearch-7.17.22-linux-x86_64.tar.gz分享给需要的同学
rocketmq-dashboard 1.0.0 源码
最新发布
12-08
rocketmq-dashboard 1.0.0 源码
华为内部安全测试技术:框架与流程解析
华为的安全测试技术框架还结合了国际标准,如OSSTMM(开放系统安全测试方法论)、OCTAVE(操作风险管理)、STRIDE(威胁、弱点、攻击、缓解、识别)、X.805、DREAD(风险度量)、PTES(渗透测试评估标准)以及CVSS...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值