文摘 Archives - 游侠安全网

网络安全攻防实战演练告警难盯？syslog/钉钉/邮件告警全覆盖！日志审计成蓝队“千里眼”

在网络安全攻防演练中，作为裁判组组长，我们复盘时发现一个普遍现象：许多优秀的蓝队拥有强大的WAF和防火墙，却倒 […]

从合规到赋能：深度解析金融监管总局93号文的行业影响与落实路径

金融监管总局93号文解读

金融监管总局 93 号文解读 ——从专项行动要求，看金融机构数据安全能力建设的落地路径 2025 年底，国家金 […]

境外黑客攻击某电商平台数据库窃取敏感信息，数据托管背后暗藏国家安全风险

境外黑客攻击某电商平台数据库窃取敏感信息，数据托管背后暗藏国家安全风险

记者从国家安全部了解到，在全球性的数字化浪潮中，数据已跃升为保障机构运行、驱动企业发展的基础性、战略性资源。存 […]

境外黑客借“电子发票”邮件窃密国家安全机关提示防范风险

境外黑客借“电子发票”邮件窃密国家安全机关提示防范风险

快科技3月4日消息，据央视新闻报道，国家安全机关已侦破多起境外黑客组织利用发票钓鱼邮件实施网络窃密的案件，提醒 […]

网络安全法

中华人民共和国网络安全法（2025年修正）

第一章总则第一条为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权 […]

小区刷脸门禁安全吗？检察公益诉讼为人脸信息安全“补漏”

针对部分物业及房地产企业在人脸识别技术运用过程中存在个人信息泄露安全隐患的问题，检察机关通过制发检察建议督促行 […]

在开展渗透测试工作中，有一些非常经典的渗透测试框架，它们提供了一套标准化的测试指导方针和推荐工具，帮助测试者跨不同的网络和安全环境开展更有效的渗透测试。尽管企业组织也可以自行构建测试框架，但是在大多数情况下，如果不依靠成熟的渗透测试框架来规范测试流程、测试工具和战术方法，企业的渗透测试工作可能很难取得成功。对于渗透测试工作来说，可重复性、可扩展性以及可持续性非常重要，特别是随着组织信息化应用和网络攻击面的增长，借助渗透测试框架能够最大程度消除渗透测试过程中的风险猜测和经验性决策，使测试人员能够专注于提升测试的质量和效果，同时进行安全风险的发现和研究。测试框架原理和步骤渗透测试框架的工作原理是指导渗透测试人员使用正确的工具和方法进行渗透测试，具体取决于计划进行的渗透测试类型和测试范围。一旦渗透测试人员开始启动渗透测试和白帽黑客攻击活动，他们应该参照渗透测试框架，以评估他们在测试过程中需要使用的战术类别和效果。完成渗透测试后，渗透测试人员应继续使用框架来进一步评估和报告测试中的发现，特别是与主要战术类别相关的发现，将环境恢复到渗透测试之前的设置状态也很重要。不同的渗透测试框架工作方式略有不同，具体取决于使用者的主要测试需求，但大多数框架都遵循类似的测试步骤，帮助组织高效、全面地完成渗透测试流程，以下是渗透测试框架通常遵循的一些常见步骤：初始规划和准备：框架指导组织确定他们的渗透测试人员、将使用的渗透测试框架和方法、对测试和报告结果的期望、任何法律或合规要求，以及进行成功测试所需的任何工具或资源。情报和信息收集：在渗透测试框架的开发和选择过程中，应尽早收集的信息包括资产所有权范围、网络目标、漏洞利用、任何涉及的第三方、网络端口、IP地址、相关员工姓名和财产位置。在某些情况下，此阶段也称为发现、测试、扫描或评估阶段。攻击阶段：渗透测试人员开始攻击，并根据框架预定义的战术类别评估系统的性能。攻击后阶段：渗透测试人员或网络安全专家团队确保测试环境的资产和功能恢复到原始状态。报告结果：测试框架用于根据所使用的工具和战术类别性能阐述结果。框架中的战术类别和方法典型的渗透测试框架都会明确列出渗透测试人员应使用的战术类别，以便在渗透测试过程中从多个方面评估网络安全性能。不过每个框架会使用自己特定的术语和方法来定义战术类别，以下是一些在渗透测试框架中最常见的战术类别：信息收集命令和控制凭证/信息访问防御规避能力和策略风险发现和信息收集模拟攻击执行泄露/窃取横向移动实现持久化驻留权限提升一般来说，渗透测试框架主要用于使渗透测试工作更加全面和有效，但是也会有一些不同的使用案例。以下是渗透测试框架的一些最常见使用方式：漏洞评估和管理；实现主动网络安全防护的道德黑客活动；防御性网络安全风险评估；发现、探测和侦察；安全缺陷和风险枚举；网络安全和合规审计。 7款主流的渗透测试框架借助成熟的渗透测试方法和框架，不仅可以大大简化测试工作的难度，而且会取得更好的测试效果。以下收集了7款目前最流行的渗透测试框架和方法，可以为企业组织更有效开展渗透测试工作提供帮助。1、Cobalt Strike Cobalt Strike是一种帮助安全红队指挥测试和操作的框架，也是目前最受企业欢迎的渗透测试框架之一。该框架全面包括了攻击模拟、事件响应指导和社会工程能力等。用户可以选择借助Community Kit仓库，对Cobalt Strike进行定制修改，还可以与Fortra提供的渗透测试软件Core Impact整合，进一步扩展其测试功能。传送门：https://www.cobaltstrike.com/。2、Metasploit Metasploit是一款由Rapid7和开源社区协作设计的渗透测试框架。它的一些典型功能特性包括1500个漏洞利用工具、网络发现、处理网络分段测试和自动化测试的元模块，并提供了基准审计报告、手动利用漏洞以及凭据蛮力破解等选项。用户可以选择免费的开源版Metasploit或功能更丰富的付费专业版。传送门：https://www.metasploit.com/。3、NIST Cybersecurity Framework NIST的网络安全框架（CSF）是一种测试功能选项非常广泛的渗透测试框架，专注于验证各种网络安全风险的标准、最佳实践和指导方针。该框架主要有五大功能：识别、保护、检测、响应和恢复。由于这是一种来自美国商务部的标准化测试框架，因此被全球很多企业用户作为了网络安全测试和合规审计的指导方针之一。传送门：https://www.nist.gov/cyberframework。4、开源安全测试方法手册（OSSTMM） OSSTMM框架是由美国安全和开放方法研究所（ISECOME）开发，它目前并不仅限于基本的测试功能，已变成了可用于广泛安全测试和分析的一套完整方法论。在其详细指南中，全面涵盖了测试的流程、战术和方法，还向用户提供了如何定义安全测试并确定范围、演练规则、错误处理和结果披露等方面的信息。传送门：https://www.isecom.org/OSSTMM.3.pdf。5、渗透测试执行标准（PTES）渗透测试执行标准（PTES）是另一个非常受欢迎的渗透测试框架，目前已经发展成为一种完整的渗透测试方法论。该框架全面涵盖了渗透测试的沟通和基本原理、情报收集、威胁建模、漏洞研究、利用和攻击后阶段以及测试报告提交。尽管在目前版本的PTES指南中，并没有涉及如何进行渗透测试相关的讨论，但该团队已经开发了一个技术指南文档来补充支持这个方面的工作。PTES的第二个更新版目前正在制定中。传送门：http://www.pentest-standard.org/index.php/Main_Page。6、开放Web应用程序安全项目（OWASP） OWASP（全球开放应用软件安全项目组织）也推出了一款持续渗透测试框架，目前还处于测试应用状态，不过OWASP已为对该框架的正式发布和应用功能感兴趣的用户提供了明确的时间路线图。与其他框架的不同在于，OWASP渗透测试框架侧重于面向信息安全和应用程序安全渗透测试的标准、指导方针和工具。传送门：https://owasp.org/www-project-continuous-penetration-testing-framework/。7、渗透测试者框架（PTF） TrustedSec公司推出的PenTesters Framework（PTF）渗透测试框架在很大程度上基于Penetration Testing Execution Standard标准来执行。它旨在使相关测试工具的安装和打包更加简洁，因此也被认为是高度可定制和可配置的一款测试框架。用户可以通过Linux命令下载使用，或直接通过Git来下载安装。传送门：https://www.trustedsec.com/tools/pentesters-framework/。参考链接：https://www.esecurityplanet.com/networks/pentest-framework/。

当 AI 成为安全 “守护者”：智能化如何破解数据安全困局？

在数字经济纵深发展的今天，数据已成为驱动产业升级的核心生产要素，但数据价值的爆发式增长也伴随着安全风险的指数级 […]

乔治亚大学研究揭秘：AI助手竟然能成为网络黑客的得力帮手？

这项令人深思的研究由乔治亚大学的罗伟迪教授领导，联合威斯康辛大学麦迪逊分校、约翰霍普金斯大学等多所知名高校的研 […]

网络安全：使用开源工具YARA，提高防护强度

停产设备易被黑客突破成间谍目标

办公室的路由器依然闪烁，客厅里的摄像头仍在转动，这些陪伴我们多年的设备，或许早已过了厂商支持的“保质期”，处于 […]

国家发改委：建立健全全流程数据安全管理体系，强化数据共享、使用、传输、存储等关键环节的安全保障

《网络数据安全管理条例》全文及官方解读

中华人民共和国国务院令第790号《网络数据安全管理条例》已经2024年8月30日国务院第40次常务会议通过 […]

每两个月，他们都会上门为企业进行网络安全“体检”

每两个月，他们都会上门为企业进行网络安全“体检”

精准“把脉”问需高效“开方”助企山东推出系列扎实举措护企安商 “张警官每两个月都会来一趟，帮我们排查安全漏 […]

最新网络安全报告：美无差别对全球手机用户实施攻击

【环球时报-环球网报道记者郭媛丹】25日，中国网络安全产业联盟（CCIA）发布《美情报机构针对全球移动智能终端 […]

DeepSeek云端部署频现安全漏洞，本地部署+内网穿透成必然选择

DeepSeek云端部署频现安全漏洞，本地部署+内网穿透成必然选择

近期，DeepSeek热度持续攀升，除了通过API接入的方式外，很多人也选择本地私有化部署。然而，运行该模型所 […]

2025年网络安全十大发展趋势发布

网络安全发展趋势 | 2025年网络安全十大发展趋势发布

近日，中国计算机学会（CCF）计算机安全专委会和上海市计算机学会网络专委会联合发起2025年网络安全十大趋势预 […]

第30期无名论坛报道丨DeepSeek技术应用的网络安全风险与法律应对解析

第30期无名论坛报道丨DeepSeek技术应用的网络安全风险与法律应对解析

2025年2月18日下午，第30期无名论坛——“DeepSeek技术应用与法律风险洞察”主题讲座在线举办。讲座 […]