Методології: PTES, OWASP, MITRE ATT&CK
Стандарти та фреймворки, за якими проводяться реальні пентести.
Чому методологія важлива?
Без методології тест — це хаотичне сканування. Методологія гарантує:
- Повноту покриття (нічого не пропущено)
- Відтворюваність результатів
- Структурований звіт
- Відповідність стандартам галузі
PTES (Penetration Testing Execution Standard)
ptes.org — найпоширеніший стандарт пентесту. 7 фаз:
| Фаза | Назва | Що відбувається |
|---|---|---|
| 1 | Pre-engagement | RoE, scope, NDA, ціноутворення |
| 2 | Intelligence Gathering | OSINT, пасивна розвідка |
| 3 | Threat Modeling | Аналіз загроз, побудова моделі атаки |
| 4 | Vulnerability Analysis | Виявлення та валідація вразливостей |
| 5 | Exploitation | Використання вразливостей |
| 6 | Post-exploitation | Закріплення, латеральний рух, виконання місії |
| 7 | Reporting | Документування знахідок |
OWASP Testing Guide
OWASP (Open Web Application Security Project) — найавторитетніший ресурс для тестування веб-додатків.
- OWASP Testing Guide — методологія для веб-пентесту (400+ сторінок)
- OWASP Top 10 — найкритичніші веб-вразливості (оновлюється кожні 3-4 роки)
- OWASP WSTG (Web Security Testing Guide) — конкретні техніки перевірки
OWASP Top 10 (2021):
- Broken Access Control
- Cryptographic Failures
- Injection (SQL, NoSQL, Command)
- Insecure Design
- Security Misconfiguration
- Vulnerable and Outdated Components
- Identification and Authentication Failures
- Software and Data Integrity Failures
- Security Logging and Monitoring Failures
- Server-Side Request Forgery (SSRF)
MITRE ATT&CK Framework
attack.mitre.org — база знань реальних технік атак, організована за тактиками.
14 тактик (Tactics):
Reconnaissance → Resource Development → Initial Access → Execution → Persistence → Privilege Escalation → Defense Evasion → Credential Access → Discovery → Lateral Movement → Collection → Command & Control → Exfiltration → Impact
Навіщо пентестеру?
- Маппінг знахідок до конкретних ATT&CK технік → зрозуміліший звіт
- Перевірка чи система детектує конкретні техніки
- Планування Red Team операцій
Для початківців рекомендуємо: PTES для структури тесту, OWASP Top 10 для веб-тестів, MITRE ATT&CK для розуміння реальних загроз. Всі три — безкоштовні онлайн-ресурси.