OWASP

Các phương pháp kiểm thử trong pentest

• Hộp đen (black box):

Các cuộc tấn công sẽ được thực hiện mà không có bất kỳ thông tin nào, pentester sẽ đặt mình vào vị trí của những tin tặc mũ đen và cố gắng bằng mọi cách để thâm nhập vào được hệ thống của khách hàng

• Hộp xám (gray box):

Một phần thông tin về mạng nội bộ và ngoại sẽ được cung cấp bởi khách hàng và Pentester sẽ đánh giá an ninh mạng dựa trên đó.

• Hộp trắng (white box):

Các thông tin về mạng nội bộ và ngoại sẽ được cung cấp bởi khách hàng và Pentester sẽ đánh giá an ninh mạng dựa trên thông tin đó.

Penetration Testing Execution Standard

PTES gồm 7 giai đoạn :

• Pre-engagement Interactions
• Intelligence Gathering
• Threat Modeling
• Vulnerability Analysis
• Exploitation
• Post Exploitation
• Reporting

Checklist

• Quy trình pentest web-app được chia thành 11 công việc (mục), Để hoàn thành kiểm tra, mỗi công việc được chia ra nhiều check list.
• Tất có 87 checklist cho 11 mục:

1. Information Gathering
2. Configuration and Deployment Management Testing
3. Identity Management Testing
4. Authentication Testing
5. Authorization Testing
6. Session Management Testing
7. Input Validation Testing
8. Testing for Error Handling
9. Testing for weak Cryptography
10. Business Logic Testing
11. Client Side Testing