我想指出与菲尔的回答相反，OWASP 项目与应用程序安全测试有关。网络安全测试规模更大，通常不包括应用程序安全，而是将其视为整体安全测试中一个单独但非常重要的部分。

网络安全测试通常与网络架构相关。构成网络的设计和设备。

• 防火墙、路由器、vpns、服务器等...是否根据其功能正确定位和配置？
• 网络是否根据某种风险或使用情况进行分段？
• 是否有适当的系统来检测网络上的入侵或恶意活动？打鼾
• 身份验证/授权是否在网络级别完成？802.1x
• 无线网络是否安全配置？
• 网络上的所有系统是否都处于适当的补丁级别？常见漏洞和暴露
• 是否有所有设备的安全日志集中存储库？NIST - 安全日志管理

这些只是与网络安全相关的部分领域。它们中的每一个都可能很大，并且可以通过多种不同的方式进行测试。

• 审计风格 - 询问这些问题并通过与员工面谈或查看配置、网络图纸和文档来验证其正确性
• 自动扫描 - 使用工具扫描网络以查找已知漏洞。即Nessus
• 渗透测试 - 尝试使用常用工具、技术和漏洞来破坏网络的安全性。回溯

最后，因为这是软件测试的 SE。我会将您指向安全 SE，以询问有关该主题的更多详细问题。

https://security.stackexchange.com/

让你的同学 - 和你自己。- 看看OWASP 前 10 名，然后看看网站的其他部分，这应该让他们对安全测试大开眼界