常見的Web應(yīng)用程序威脅,Web應(yīng)用程序滲透測試方法
      
                                    
                                
      
                                
      
                                    
      根據(jù) Verizon 2020 年數(shù)據(jù)泄露調(diào)查報告 (DBIR), 43% 的網(wǎng)絡(luò)泄露可追溯到Web應(yīng)用程序攻擊,比上一年增加了兩倍。黑客利用未修補的漏洞為自己謀取利益。現(xiàn)在,您可能會認(rèn)為,當(dāng)您的安全團(tuán)隊已經(jīng)運行漏洞掃描時,這怎么可能呢?那么,在這種情況下有兩種可能性。您的安全團(tuán)隊要么未能評估所有漏洞,要么沒有運行Web應(yīng)用程序安全滲透測試。
      

      常見的Web應(yīng)用程序威脅,Web應(yīng)用程序滲透測試方法-南華中天
      

      Web應(yīng)用程序攻擊
      

      在我們向您介紹網(wǎng)站安全滲透測試的原因和方法之前,讓我們先來看看最常見的Web應(yīng)用程序威脅。
      

        

      • SQL注入:攻擊者使用這種攻擊來執(zhí)行控制Web應(yīng)用程序后端數(shù)據(jù)庫服務(wù)器的惡意 SQL 語句。它可能會給他們未經(jīng)授權(quán)的訪問權(quán)限來添加、編輯或修改您的數(shù)據(jù)庫。
        • 

      • 認(rèn)證失敗:如果您的Web應(yīng)用程序未能在會話結(jié)束后使會話 cookie 或 ID 失效,則黑客可以輕松攻破此漏洞。
        • 

      • 損壞的訪問控制:當(dāng)用戶有權(quán)訪問資源或可以執(zhí)行他們根據(jù)Web應(yīng)用程序訪問規(guī)則不應(yīng)該執(zhí)行的功能時,就會發(fā)生這種情況。
        • 

      • 安全配置錯誤:當(dāng)開發(fā)人員忽視安全配置時,攻擊者可以通過 URL、輸入字段或表單字段進(jìn)入系統(tǒng)。
        • 

      • 跨腳本(XSS):客戶端(瀏覽器)漏洞,當(dāng)Web應(yīng)用程序在沒有充分驗證的情況下向瀏覽器發(fā)送不受信任的腳本或數(shù)據(jù)時,就會發(fā)生這種情況。
        • 

      • 未經(jīng)驗證的轉(zhuǎn)發(fā)和重定向:如果驗證不佳,Web應(yīng)用程序會重定向并轉(zhuǎn)發(fā)用戶、網(wǎng)絡(luò)釣魚或惡意軟件頁面以獲得未經(jīng)授權(quán)的訪問。
        • 

      • 弱傳輸層保護(hù):如果Web應(yīng)用程序的算法較弱或證書無效/過期,或者不使用 SSL 證書來保護(hù)網(wǎng)絡(luò)流量,它將使會話和數(shù)據(jù)暴露給攻擊者。
        • 

      

      網(wǎng)站安全滲透測試——它是什么以及它有什么幫助?
      

      滲透測試是一種全面的侵入式安全測試,超越漏洞評估以確保Web應(yīng)用程序的安全。它還旨在幫助您滿足法規(guī)遵從性并開發(fā)安全防御機(jī)制。它也被稱為道德黑客或白帽黑客,因為它是由您的公司授權(quán)的模擬安全攻擊。
      

      常見的Web應(yīng)用程序威脅,Web應(yīng)用程序滲透測試方法-南華中天
      

      滲透測試的好處是:
      

        

      • 它可以識別您公司安全框架中多個系統(tǒng)的每一個潛在漏洞。有時,一個小弱點會放大網(wǎng)絡(luò)攻擊的復(fù)雜性。
        • 

      • 它試圖破壞Web應(yīng)用程序的各種安全層以捕獲安全漏洞。
        • 

      • 它測試您的安全基礎(chǔ)設(shè)施的各個方面——服務(wù)器、防火墻、路由器、端點和交換機(jī)。
        • 

      • 它允許您利用手動和自動測試來對漏洞進(jìn)行整體評估。
        • 

      

      Web應(yīng)用程序滲透測試方法
      

      滲透測試遵循具體步驟:
      

      1.情報收集
      

      第一步通常稱為偵察。測試人員從所有內(nèi)部和外部利益相關(guān)者收集有關(guān)您組織的Web應(yīng)用程序安全性的信息,以了解潛在的漏洞和目標(biāo)的攻擊面。此階段還定義了測試的范圍和目標(biāo)。
      

      2.掃描
      

      測試人員部署了一組易于使用、配置和部署的自動化Web應(yīng)用程序滲透測試工具。這些工具可用于對Web應(yīng)用程序代碼進(jìn)行靜態(tài)和動態(tài)分析。測試人員偏愛的一些最流行的Web應(yīng)用程序滲透測試工具是:
      

        

      • Powershell套件
        • 

      • 網(wǎng)絡(luò)映射器 (Nmap)
        • 

      • 線鯊
        • 

      • 簡單的電子郵件
        • 

      • 打嗝套件
        • 

      • 耐索斯
        • 

      • 開膛手約翰
        • 

      • 尼克托
        • 

      • 鯰魚
        • 

      • X射線
        • 

      

      3. 開發(fā)/獲取訪問權(quán)限
      

      在這個階段,測試人員通過他們在情報收集和掃描時發(fā)現(xiàn)的切入點進(jìn)入目標(biāo)。他們通過利用這些漏洞獲得對系統(tǒng)的訪問權(quán)限。他們在每種情況下對受損系統(tǒng)執(zhí)行測試用例。
      

      常見的Web應(yīng)用程序威脅,Web應(yīng)用程序滲透測試方法-南華中天
      

      4. 維護(hù)訪問
      

      獲得訪問權(quán)限和利用系統(tǒng)需要花費大量時間和精力。因此,道德黑客必須有權(quán)維持他們的訪問權(quán)限。否則,他們將不得不從頭開始整個過程??,這也會花費您的組織時間和金錢。測試人員可以部署鍵盤記錄器、后門程序和他們需要的其他工具,以便在以后的某個時間點保持訪問以阻止?jié)撛诘穆┒础H欢瑴y試人員應(yīng)該足夠警惕,清除他們的足跡,這樣攻擊者就不會在現(xiàn)實生活中惡意利用他們進(jìn)行攻擊。
      

      5. 分析和報告
      

      滲透測試的最后階段包括分析結(jié)果并向組織提交報告。本報告詳細(xì)說明了被利用的漏洞、從測試開始到結(jié)束所采取的步驟、測試期間訪問的數(shù)據(jù),以及組織應(yīng)該了解的有關(guān)其安全架構(gòu)以減輕潛在網(wǎng)絡(luò)攻擊的所有其他信息。
      

      Web應(yīng)用程序安全滲透測試對您的網(wǎng)絡(luò)風(fēng)險管理策略至關(guān)重要。它需要專業(yè)知識和經(jīng)驗。因此,您應(yīng)該聘請專業(yè)且值得信賴的安全合作伙伴,它可以為您進(jìn)行深度智能滲透測試,并提供持續(xù)支持。Web應(yīng)用程序掃描 (WAS)確保您的組織的端到端Web應(yīng)用程序安全。