當研究PCI滲透測試指南時,你應該注意這六個方面

2021-09-23 06:23:29 字數 1748 閱讀 9694

儘管pci dss 3.0版本已經全面推出,但仍然有很多關於企業難以遵守11.3章節中列出的pci滲透測試要求的討論。

為了幫助企業充分了解pci dss 3.0要求,pci安全標準委員會在2023年3月發布了pci dss補充資訊:滲透測試指南。該文件詳細介紹了滲透測試過程的一般方法,從範圍界定到測試不同的網路層,再到測試後續步驟(例如報告)等。

pci滲透測試文件以及pci dss合規所要求的方法的優點是,並沒有什麼新東西。除了提到雲計算環境、網路釣魚以及縮小持卡人資料環境範圍等新概念外,這些滲透測試/安全評估其實做法已經存在多年。當筆者在2023年撰寫《hacking for dummies》第一版時,筆者就在研究其中一些主題,當時這方面的資源已經相當普遍,例如像黑客一樣思考到跨不同作業系統平台的獨特漏洞利用,以及執行滲透測試的特定方法等,這些資訊主要是以開源安全測試方法(osstmm)的形式提供,還有很多***、文章等。

讓我們快進到2023年。

筆者不知道是否應該將其稱為分析癱瘓、缺乏預算或只是執行管理部分的緩兵之計,但好像很多人都在等待pci安全標準委員會告訴他們如何做十多年來已經良好記錄的事情。

企業應該閱讀完整的pci滲透測試指南檔案,而下面是企業應該注意的六個重要方面:

• 該文件討論了應用環境身份驗證測試方面的要求—這是滲透測試中經常被忽視但非常重要的組成部分。

• 該文件還介紹了什麼被認為是對系統的「重大改變」--以便在對持卡人資料環境中任何系統進行**或相關更新後可以進行後續滲透測試。

• 該文件提到了做這項工作的安全專業人員獲得的證書以及過往的經驗的重要性—與其他領域一樣,更多經驗往往更好,當然還需要漏洞掃瞄器、網路分析儀和漏洞利用工具包等工具,他們還應該知道如何有效地使用它們。

• 另外,滲透測試特定規則經常被忽視,這可能在滲透測試過程中或測試後製造問題,例如漏洞利用需要多麼深入以及如何處理在測試中發現的敏感資料等。筆者非常高興該文件解決了可能阻止測試(waf和ipses等)的安全控制,很多人以為他們有這些控制就不會發現漏洞或出現漏洞利用,一切都很好。對於白名單或禁用這些積極保護措施,該滲透測試指南明確指出它可「幫助確保服務本身得到正確配置,並在主動保護系統出現故障或以某種方式被擊敗或被攻擊者繞過時控制漏洞利用的風險。」

• 該文件中還提供了圍繞社會工程學的建議,包括網路釣魚測試,以檢測持卡人資料環境是否能從這個角度被利用。

• 企業還應該保留測試詳細資訊的證據(包括具體的調查結果),確保可根據要求提供。

除了越來越複雜的網路,以及pci dss和一般安全測試最佳做法的細微區別,這其實與我們過去的做法沒有太多不同。不要試圖下車去尋找新的東西,在賽車運動中,我們知道,如果我們專注於我們前進的方向,汽車就會開往該方向。這個道理同樣適用於資訊保安領域,在這種情況下,也適用於pci dss滲透測試要求。你現在應該知道需要做什麼事情,你只需要深入閱讀該滲透測試要求,或者完全外包滲透測試功能。

你還可以看看nist sp800-115—資訊保安測試和評估技術指南,以及osstmm和有關漏洞掃瞄和滲透測試的其他資源。如果你認真研讀這些一般準則,就不會有太大問題。

展望未來,如果你無法完全遵守新的pci dss規則怎麼辦?對於這些要求,無論你做或者不做某些事情,你做的任何決定都會產生後果。我認為最重要的事情是你應該從今天開始做出合理的一致的努力,以改進現有的滲透測試和整體安全計畫。在我看來,執行基本漏洞掃瞄的人將會是最大的審查目標,而根本不是測試本身。

你不一定需要部署完美的安全測試計畫,但你肯定不希望被排在最後,你可以保持在中間的位置,並以持續改進作為目標。

滲透測試例項指南 命令執行

應用程式有時需要呼叫一些執行系統命令的函式,如在php中,使用system exec shell exec passthru popen proc popen等函式可以執行系統命令,當黑客能控制這些函式的引數時,就可以將惡意的系統命令拼接到正常命令中,從而造成了命令執行攻擊,這就是命令執行漏洞。sy...

Metasploit滲透測試指南 pdf格式

metasploit滲透測試指南 目 錄 第 1章 滲透測試技術基礎 1 1.1 ptes 標準中的滲透測試階段 2 1.1.1 前期互動階段 2 1.1.2 情報蒐集階段 2 1.1.3 威脅建模階段 2 1.1.4 漏洞分析階段 3 1.1.5 滲透攻擊階段 3 1.1.6 後滲透攻擊階段 3 ...

Web 滲透測試入坑必備指南

本場 chat 我會詳細介紹 web 安全的入坑指南以及必備技能的學習和一些實際思路。面向基礎群眾,以下內容微有技術門檻。想做乙個帥氣的黑客請預訂,企業安全自檢也請預訂。小白如何快速入門 基本介紹初學知識 owasp top 10 風險 白帽子的測試是否合法,邊界在 個人書單推薦 我挖到了洞該怎麼辦...