CISSP(十五)
安全评估与测试
安全评估由安全测试、安全评估、安全审计组成。
漏洞扫描主要分为四类网络发现扫描、网络漏洞扫描、Web 应用程序漏洞扫描以及数据库漏洞扫描。
渗透测试分为白盒、黑盒、灰盒渗透测试。
入侵模拟攻击BAS
代码审查的六个步骤
动态应用安全测试DAST
IAST和RASP
模糊测试
接口测试
测试覆盖率分析
满足这种需求的安全管理审查包括H 志审查、账户管理、备份验证、关键性能和风险指标。每项审查都应遵循一个标准化流程且审查完成后应获得管理层确认。
TCP ACK扫描
TCP ACK扫描是一种用于网络端口扫描的技术,它是TCP连接扫描的一种变种。在TCP ACK扫描中,扫描器发送一个仅包含ACK标志的TCP数据包到目标主机的特定端口,而不是像传统的TCP连接扫描那样发送SYN标志。
在正常的TCP连接中,通信的开始会由客户端发送一个带有SYN标志的数据包,然后服务器回复一个带有SYN和ACK标志的数据包,最后客户端再回复一个带有ACK标志的数据包,完成三次握手建立连接。而TCP ACK扫描中,扫描器直接发送一个带有ACK标志的数据包,不进行后续的握手过程。
TCP ACK扫描的目的是探测目标主机上的端口状态。如果目标端口关闭,它会响应一个RST(复位)标志,表示该端口是关闭的。如果目标端口打开,它通常不会响应或回复任何数据包,因为ACK标志只用于确认已建立的连接,而不是用于建立新的连接。因此,TCP ACK扫描可以用来判断目标端口是否打开或关闭。
TCP ACK扫描是一种轻量级的扫描技术,通常用于绕过防火墙或IDS(入侵检测系统)的检测。但是,它的扫描结果有时会不够准确,因为一些目标主机可能会配置为响应ACK数据包,或者防火墙可能会过滤掉非法的ACK数据包。因此,在进行网络扫描时,需要综合使用多种扫描技术来获得更准确的结果。
支付卡行业数据安全标准
PCI DSS是Payment Card Industry Data Security Standard(支付卡行业数据安全标准)的缩写,是一套由支付卡行业制定的数据安全标准。该标准旨在保护持卡人的支付卡数据,确保其在处理、存储和传输过程中得到适当的保护,以防止数据泄露、盗窃和滥用。
PCI DSS是由主要的支付卡品牌组织共同制定,包括Visa、MasterCard、American Express、Discover和JCB。符合PCI DSS标准是对处理支付卡数据的商户和服务提供商的一项义务,无论是在线交易还是实体店面销售,只要涉及支付卡数据的处理,都需要符合这些标准。
PCI DSS包含了一系列具体的数据安全要求,涵盖了安全策略、网络安全、系统和应用程序开发、访问控制、数据加密、安全监控等方面。符合PCI DSS标准需要商户和服务提供商采取一系列安全措施,包括安装和维护防火墙、定期更新系统和应用程序、限制访问权限、加密持卡人数据等。
符合PCI DSS标准对于保护支付卡数据的安全至关重要,不仅有助于保护持卡人的利益,还能降低商户和服务提供商遭受数据泄露和盗窃的风险,维护支付系统的稳定和可信性。
误用案例测试
误用案例测试(Misuse Case Testing)是一种软件测试方法,主要用于发现系统或应用程序中可能出现的安全误用和安全风险。与常规的功能测试不同,误用案例测试侧重于测试系统如何在恶意或恶意使用情况下响应,以及系统是否能够防范潜在的攻击和滥用。
误用案例测试通常由安全专家或渗透测试团队执行,他们会以攻击者的角度思考,并尝试寻找潜在的漏洞和安全弱点。这种测试方法可以帮助发现例如未经授权访问、数据泄露、代码注入、跨站脚本(XSS)、跨站请求伪造(CSRF)、缓冲区溢出等安全问题。
在误用案例测试中,测试人员会尝试使用非法、异常或恶意的输入数据来执行特定操作,并观察系统的反应。他们还会尝试绕过访问控制、窃取敏感数据、篡改系统配置等,以模拟潜在的攻击行为。
误用案例测试不仅限于测试应用程序本身,还可以测试系统的整体安全性,包括网络安全、身份认证和授权、数据加密和传输等方面。
通过进行误用案例测试,开发团队和安全专家可以及早发现和修复系统中的安全漏洞和风险,从而提高系统的安全性和可信度。同时,误用案例测试也有助于提高开发人员和用户对系统安全的认识和意识,促进安全意识的培养和加强安全措施的实施。
模糊测试
模糊测试(Fuzz Testing)是一种自动化的软件测试技术,用于发现应用程序中的漏洞和错误。在模糊测试中,测试工具会生成大量的随机、异常或非预期的输入数据,然后将这些数据作为输入传递给目标应用程序,观察应用程序在处理这些异常输入时的反应。
模糊测试的目的是寻找应用程序对不正确或异常输入的处理方式,尤其是那些可能导致崩溃、异常终止或安全漏洞的输入。通过大量的随机测试输入,模糊测试可以覆盖应用程序的大部分代码路径,从而增加发现潜在漏洞的机会。
模糊测试可以用于测试各种类型的应用程序,包括软件、网络服务、操作系统等。它是一种快速而有效的测试方法,能够发现许多潜在的问题,包括缓冲区溢出、空指针解引用、代码注入、格式化字符串漏洞等。模糊测试可以帮助开发人员和测试人员及早发现并修复这些问题,从而提高软件的质量和安全性。
模糊测试通常是自动化执行的,测试工具会持续生成随机输入并传递给目标应用程序,直到满足预定的停止条件。一旦发现异常或漏洞,测试工具会记录下相关的信息,供开发人员进行调试和修复。
模糊测试是一种强大的测试技术,但也可能会产生大量的误报或未发现某些漏洞。因此,在使用模糊测试时,需要综合使用其他测试方法和人工审查来进一步验证和确认潜在漏洞的存在与否,并进行适当的修复和改进。
突变模糊测试
突变模糊测试(Mutation Fuzzing)是一种自动化的软件测试技术,用于发现应用程序中的漏洞和安全问题。在突变模糊测试中,测试工具会对输入数据进行随机的变异或修改,然后将这些变异后的数据作为输入传递给目标应用程序,观察应用程序在处理这些异常输入时的反应。
突变模糊测试的目的是寻找应用程序对不正确或异常输入的处理方式,尤其是那些可能导致崩溃、异常终止或安全漏洞的输入。测试工具会持续进行大量的变异操作,将随机生成的数据注入到目标应用程序中,以覆盖尽可能多的代码路径,从而增加发现潜在漏洞的机会。
突变模糊测试可以用于测试各种类型的应用程序,包括软件、网络服务、操作系统等。它是一种强大的测试技术,常用于发现缓冲区溢出、空指针解引用、代码注入等安全漏洞,同时也可以用于发现一般的软件错误和异常情况。
突变模糊测试是自动化的测试方法,可以帮助发现大量的潜在问题,但也可能会产生大量的误报或未发现某些漏洞。因此,在使用突变模糊测试时,需要结合其他测试方法和人工审查来进一步验证和确认潜在漏洞的存在与否,并进行适当的修复和改进。
SOC(系统与组织控制)声明
SOC声明是指”System and Organization Controls”(系统与组织控制)声明。它是由美国注册会计师协会(AICPA)开发的一种报告,旨在对服务提供商的信息技术和数据处理环境进行审计,并评估其控制措施的有效性。
SOC声明通常由独立的审计师团队对服务提供商进行审计,并根据AICPA的相关标准(例如,SOC 1、SOC 2、SOC 3等)生成报告。这些报告可以帮助服务提供商向其客户证明其信息安全和数据处理控制措施的有效性和合规性。
不同类型的SOC声明关注不同的方面。例如,SOC 1报告通常涉及服务提供商的财务和会计控制,用于评估对客户财务报表的影响。SOC 2报告则更关注信息安全、数据隐私和数据处理控制,用于评估服务提供商在这些方面的合规性。SOC 3报告则是对SOC 2报告的摘要,用于公开分享,通常没有详细的技术细节。
客户可以要求服务提供商提供SOC声明,以确认其信息安全和数据处理控制措施是否满足其特定需求和合规性要求。对于一些组织,获取SOC声明可能是签订服务合同的前提条件之一。同时,SOC声明也可以帮助服务提供商提升其信誉度和市场竞争力。
SOC 报告只有两种类型: I 类和II 类。两类报告都提供了安全控制措施设计适用性的信息。只有II 类报告还提供这些控制措施在较长时间内的运行有效性的意见。
[12/20] 练习题测试结果
正确率 12/20
[15/20] CISSP官方学习手册(第9版)第15章练习题
A
D
C
C
D 正确答案A 安全评估报告应该交给组织管理层。
C
C 正确答案B
B
D
D 正确答案c
TCP SYN扫描发送一个SYN数据包,并接收一个SYN ACK数据包作为响应,但没有最终发送ACK,未能完成三次握手。D
A 正确答案c
PCI DSS要求Badin至少每年进行一次扫描,并在应用程序发生变更后重新扫描应用程序。B
C
A
A 正确答案B
用户界面测试包括对GUI图形化界面测试和命令行CLI的测试。B
B
B SOC报告只有2种类型I类和II类。其中II类报告比I类报告更加高级。
B
page 643/ 901