Mi interessa meno gli strumenti del mestiere (ci sono già molte domande a riguardo), e sono interessato più al processo con cui useresti questi strumenti. Ad esempio, OWASP ha la seguente guida di test:
Hai delle guide go-to simili, in cui ti sposterai dall'AZ attraverso l'elenco, testando gli exploit o consideri che gran parte del processo sia di tipo "non-divulgativo"?
Le organizzazioni hanno procedure per queste, ma sono di altissimo livello e ogni fase può cambiare drasticamente in base a ciò che viene scoperto e ai fini del test.
Vedi la mia risposta qui per un po 'di dettaglio basato sulla seguente sequenza, che è una delle numerose procedure possibili:
La guida OWASP è la cosa più vicina a una metodologia definita, la maggior parte dei tester opera utilizzando l'intuito e sperimenta l'imho. Mi piace la metodologia OWASP, ma penso che manchi una grossa fetta di testing attorno ai difetti della logica delle applicazioni.
Se stai cercando un punto di partenza per sviluppare la tua metodologia interna, prendi l'OWASP, rimuovi le aree che non sono rilevanti per il tuo test e adattalo.
Credo che il Penetration Testing Execution Framework (PTES) sarà uno da tenere d'occhio. È ancora presto, ma non vedo l'ora di vedere quale sia l'output di quel progetto. Puoi trovarlo all'indirizzo link
Non penso che ci sia una non-rivelazione su di esso, ma più che semplicemente non c'è un processo predefinito.
Tutte le applicazioni sono diverse, quindi una parte di essa si sente semplicemente in giro per vedere cosa si muove e cosa no.
In genere per un test di penetrazione di un'applicazione Web un processo graduale è poco difficile da elaborare e seguire. La maggior parte del pentagramma webapp (incluso me stesso!) Che ho incontrato ha i suoi passi / modi di fare una scansione. Ognuno ha il proprio modo di affrontare un test. Questo perché per il webapp pentest si cerca di scoprire classi di vulnerabilità conosciute in pezzi di codice "sconosciuti". Mentre nei test di rete trovi le classi conosciute in un pezzo di codice noto. Detto questo, enti come OWASP e WASC hanno elaborato classi di vulnerabilità webapp e una buona metodologia di test che dovrebbe idealmente coprire la maggior parte degli scenari. Penso che la copertura di WASC sia apprezzabile nella logica di business e in molte altre vulnerabilità complesse. Puoi anche consultare guida ISSAF 0.2.1B (Sec T a Sec Y). Questo è anche piuttosto utile e raramente mi riferisco a questo insieme alla guida ai test di OWASP mentre eseguo pentest.
Leggi altre domande sui tag web-application appsec penetration-test