OSSTMM开源安全测试方法手册

OSSTMM开源安全测试方法手册(https://www.isecom.org/OSSTMM.3.pdf) 由安全与开放方法研究所 (ISECOM) 开发。OSSTMM 的开发是全面的、定量的、透明的和教育性的。

尽管OSSTMM提供了进行结构化和标准化安全评估的指导，但OSSTMM侧重于在测试后生成可行的指标。这可以提供一个很好的起点，为组织提供有意义的测试后报告和建议。

OSSTMM 的框架为：

• 事前参与
• 情报收集
• 威胁分析
• 漏洞分析
• 开发
• 后利用
• 分析和报告

可以使用OSSTMM作为指导来进行结构化、完整的渗透测试。此外，当测试的目标是为组织提供详细的结果报告以进行彻底的测试后活动时，OSSTMM 会特别有用。

对道德、测量和指标的重视为测试团队和组织利益相关者之间的信任奠定了坚实的基础。如果团队是外部/第三方的，这一点尤其重要。OSSTMM 还提供有关物理安全的指导 ，并且可以极大地有益于涉及此类活动的参与。