Methodologies: PTES, OWASP, MITRE ATT&CK

Чому методологія важлива?

Без методології тест — це хаотичне сканування. Методологія гарантує:

• Повноту покриття (нічого не пропущено)
• Відтворюваність результатів
• Структурований звіт
• Відповідність стандартам галузі

PTES (Penetration Testing Execution Standard)

ptes.org — найпоширеніший стандарт пентесту. 7 фаз:

OWASP Testing Guide

OWASP (Open Web Application Security Project) — найавторитетніший ресурс для тестування веб-додатків.

• OWASP Testing Guide — методологія для веб-пентесту (400+ сторінок)
• OWASP Top 10 — найкритичніші веб-вразливості (оновлюється кожні 3-4 роки)
• OWASP WSTG (Web Security Testing Guide) — конкретні техніки перевірки

OWASP Top 10 (2021):

1. Broken Access Control
2. Cryptographic Failures
3. Injection (SQL, NoSQL, Command)
4. Insecure Design
5. Security Misconfiguration
6. Vulnerable and Outdated Components
7. Identification and Authentication Failures
8. Software and Data Integrity Failures
9. Security Logging and Monitoring Failures
10. Server-Side Request Forgery (SSRF)

MITRE ATT&CK Framework

attack.mitre.org — база знань реальних технік атак, організована за тактиками.

14 тактик (Tactics):

Reconnaissance → Resource Development → Initial Access → Execution → Persistence → Privilege Escalation → Defense Evasion → Credential Access → Discovery → Lateral Movement → Collection → Command & Control → Exfiltration → Impact

Навіщо пентестеру?

• Маппінг знахідок до конкретних ATT&CK технік → зрозуміліший звіт
• Перевірка чи система детектує конкретні техніки
• Планування Red Team операцій