查看原文
其他

信息安全测试案例库上线了

新潮信息 Tide安全团队 2023-02-28

导读:信息安全测试案例库是山东新潮信息Tide安全团队结合在等级保护和渗透测试方面的经验积累,对等级保护2.0中的测评项和渗透测试项进行细致梳理,整理web安全检测和App安全检测中的160多个渗透测试项和230多个真实测试案例,为信息系统运营、使用单位和测评机构提供测试参考。


声明:本测试案例库是由山东新潮Tide安全团队根据规范和经验整理而来,并非安全测试的规范或标准,仅供大家测试参考之用


网络安全等级保护制度是国家的基本国策、基本制度和基本方法,是实现国家对重要网络、信息系统、数据资源实施重点保护的重大措施,是维护国家关键信息基础设施的重要手段。随着等级保护2.0的推出,如何在等级保护测评中全面、准确地发现存在的安全风险,成为信息系统运营、使用单位和测评机构的迫切需求。

而渗透测试作为等级保护测评的一种验证机制和补充,在等级保护工作中起了非常重要的作用。渗透测试作为进一步对系统进行深层评估的手段,有助于增加等级测评结论的全面性和准确性,有利于用户依据发现的问题进行针对性的整改和加固,进而使业务系统达到相应级别的安全保护能力。

但网络安全等级保护测评过程中的渗透测试与传统的渗透测试有一定的区别。等保测评中的渗透测试是以风险为导向,针对测评范围内的资产使用攻击人员的技术和手段进行验证性的测试工作。而传统的渗透测试是以黑客视角进行模拟攻击,尝试发现系统存在的安全漏洞并进行利用。在实际项目中,渗透测试往往是伴随着等级保护测评现场测评阶段开展的,以对等级保护测评的测评结果进行补充。

但由于《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》和《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》中对测评单元和测评项并没有做明确的要求,导致大家在对部分测评项进行检查时,只能根据各机构的理解或个人的经验来进行测试。比如在对“身份鉴别”项进行检查时, 一般都会检测弱口令、账号枚举、密码破解等内容,但双因子认证、用户注册覆盖、失败登录限制等内容可能就忽略了。而且由于等级保护测评项目周期有些较紧张,如果没有规范的测评项要求只是依靠人员经验和责任心,那么测试的覆盖面和精细度都会大打折扣。

为此,山东新潮信息Tide安全团队结合在等级保护和渗透测试方面的经验积累,对等级保护2.0中的测评项和渗透测试项进行了细致梳理,针对身份鉴别、访问控制、安全审计、可信验证、入侵防范、恶意代码防范、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等11个安全控制点共整理160多个渗透测试项,并针对渗透测试项编写详细测试案例230多个,为信息系统运营、使用单位和测评机构提供测试参考。

安全测试案例库访问地址:http://case.tidesec.com



覆盖160多个测试项和220多个实战测试案例。

每个漏洞项都包含具体的漏洞描述、等保对应控制点和要求项、漏洞成因、风险分析、加固建议、测试方法、测试工具、测试点、测试步骤。


每个漏洞项都包含了大量的真实测试案例,供测试人员进行参考学习。



参考依据: 

《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》 

《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》 

《GB/T 36627-2018 网络安全等级保护测试评估技术指南》 

《网络安全等级保护测评高风险判定指引》 

《GB/T 33561-2017 信息安全技术 安全漏洞分类》 

《GB/T 30279-2013 信息安全技术 安全漏洞等级划分指南》

《GB/T 30276-2013 信息安全技术 信息安全漏洞管理规范》

《GB/T 28458-2012信息安全技术 安全漏洞标识与描述规范》 

《开放式Web应用程序安全项目(OWASP)测试指南》

《安全测试方法学开源手册(OSSTMM)》 

《NIST SP 800-42网络安全测试指南》 

《web应用安全威胁分类标准(WASC-TC)》 

《PTES渗透测试执行标准》


至此,我们的对外服务平台又多了一个,而且12月份还会有新平台上线~!

Tide安全团队官网 https://www.tidesec.com

统一登录认证平台 http://sso.tidesec.com

                                                               

E

N

D


知识星球产品及服务

团队内部平台:潮汐在线指纹识别平台 | 潮听漏洞情报平台 | 潮巡资产管理与威胁监测平台 | 潮汐网络空间资产测绘 | 潮声漏洞检测平台 | 在线免杀平台 | CTF练习平台 | 物联网固件检测平台 | SRC资产监控平台  | ......


星球分享方向:Web安全 | 红蓝对抗 | 移动安全 | 应急响应 | 工控安全 | 物联网安全 | 密码学 | 人工智能 | ctf 等方面的沟通及分享


星球知识wiki:红蓝对抗 | 漏洞武器库 | 远控免杀 | 移动安全 | 物联网安全 | 代码审计 | CTF | 工控安全 | 应急响应 | 人工智能 | 密码学 | CobaltStrike | 安全测试用例 | ......


星球网盘资料:安全法律法规 | 安全认证资料 | 代码审计 | 渗透安全工具 | 工控安全工具 | 移动安全工具 | 物联网安全 | 其它安全文库合辑  | ......

扫码加入一起学习吧~


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存