先了解一下為什么需要滲透
當(dāng)我們談?wù)摪踩珪r(shí),我們較常聽到的詞是 漏洞。
當(dāng)我第一次開始做安全員時(shí),我經(jīng)常對(duì)漏洞這個(gè)詞感到困惑,我相信你們中的許多人和我的讀者都會(huì)陷入困境。
為了所有讀者的利益,我將首先澄清漏洞與筆試的區(qū)別。
那么,什么是漏洞呢?漏洞是用來識(shí)別系統(tǒng)中可能受到安全威脅的缺陷的術(shù)語(yǔ)。
漏洞掃描漏洞掃描使用戶能夠找出應(yīng)用程序中已知的弱點(diǎn),并定義修復(fù)和提高應(yīng)用程序整體安全性的方法。它基本上可以確定安全補(bǔ)丁是否安裝,系統(tǒng)是否正確配置,使攻擊困難。
Pen Tests主要模擬實(shí)時(shí)系統(tǒng),幫助用戶找出未經(jīng)授權(quán)的用戶是否可以訪問該系統(tǒng)。如果可能的話,可能會(huì)對(duì)數(shù)據(jù)造成什么損壞和損壞。
因此,漏洞掃描是一種調(diào)查控制方法,提出了改進(jìn)安全程序、確保已知漏洞不再出現(xiàn)的方法,筆試是一種預(yù)防性控制方法,可以提供系統(tǒng)現(xiàn)有安全層的整體視圖。
盡管這兩種方法都很重要,但這取決于中實(shí)際預(yù)期的內(nèi)容。
作為人員,的目的必須在進(jìn)入前明確。如果目標(biāo)明確,可以很好地定義是否需要進(jìn)行漏洞掃描或筆試。
重要性和對(duì)Web App Pen要求:
Pentest幫助識(shí)別未知漏洞。幫助檢查整體安全策略的有效性。幫助防火墻、路由器、路由器等開放部件DNS。讓用戶找出較容易受到攻擊的路徑,幫助發(fā)現(xiàn)敏感數(shù)據(jù)被盜的漏洞。如果您查看當(dāng)前的市場(chǎng)需求,移動(dòng)設(shè)備的使用量將急劇增加,這正成為攻擊的主要潛力。通過移動(dòng)訪問網(wǎng)站更容易受到更頻繁的攻擊,從而損害數(shù)據(jù)。
因此,滲透擔(dān)心黑客入侵或數(shù)據(jù)丟失的情況下,滲透對(duì)建一個(gè)安全的系統(tǒng)是非常重要的。
網(wǎng)絡(luò)滲透方法該方法只是一套關(guān)于如何的安全行業(yè)標(biāo)準(zhǔn)。有一些公認(rèn)的方法和標(biāo)準(zhǔn)可以用于,但因?yàn)槊恳粋€(gè)Web應(yīng)用程序需要進(jìn)行不同類型的,因此人員可以市場(chǎng)上可用的標(biāo)準(zhǔn)來創(chuàng)建自己的方法。
一些安全方法和標(biāo)準(zhǔn)–
OWASP(開放式Web應(yīng)用程序安全項(xiàng)目)OSSTMM(開源安全方法手冊(cè))PTF(滲透試驗(yàn)框架)ISSAF(信息系統(tǒng)安全評(píng)估框架)href="https:// .pcisecuritystandards.org/pci_security/">PCI DSS(支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))方案:
下面列出的一些方案可以用作Web應(yīng)用程序滲透(WAPT)的一部分:
跨站腳本SQL注入身份驗(yàn)證和會(huì)話管理中斷文件上傳缺陷緩存服務(wù)器攻擊安全錯(cuò)誤配置跨站請(qǐng)求偽造密碼破解即使我已經(jīng)提到了清單,人員也不應(yīng)該根據(jù)上述常規(guī)標(biāo)準(zhǔn)盲目創(chuàng)建方法。
這是一個(gè)證明我為什么這么說的例子。
考慮是否可以使用電子商務(wù)網(wǎng)站進(jìn)行滲透OWASP常規(guī)方法(如XSS,SQL注入等。)識(shí)別電子商務(wù)網(wǎng)站的所有漏洞。
答案是否定的,因?yàn)榕c其他網(wǎng)站相比,電子商務(wù)在不同的平臺(tái)和技術(shù)上工作。為了使您對(duì)電子商務(wù)網(wǎng)站的筆試有效,人員應(yīng)設(shè)計(jì)一種方法,如訂單管理、優(yōu)惠券和獎(jiǎng)勵(lì)管理、支付 集成和內(nèi)容管理系統(tǒng)集成等缺陷。
因此,在決定使用哪種方法之前,請(qǐng)確定哪種類型的網(wǎng)站和哪種方法將有助于找到較大的漏洞。
Web滲透試驗(yàn)類型Web滲透可以通過兩種方式進(jìn)行??稍O(shè)計(jì)為模擬內(nèi)部或外部攻擊。
#1)內(nèi)部滲透試驗(yàn)–
顧名思義,內(nèi)部筆試在組織內(nèi)部通過LAN因此,它包括內(nèi)部在線托管Web應(yīng)用程序。
防火墻內(nèi)是否可能存在漏洞。
我們一直認(rèn)為攻擊只能發(fā)生在外部,而且經(jīng)常發(fā)生在內(nèi)部Pentest被忽視或不太重視。
基本上,它包括惡意員工攻擊不滿意的員工或承包商,他們辭職,但知道內(nèi)部安全策略和密碼,社會(huì)工程攻擊,模擬網(wǎng)絡(luò)釣魚攻擊,攻擊使用戶特權(quán)或?yàn)E用未鎖定的終端。
主要是在沒有適當(dāng)憑證的情況下訪問環(huán)境,確定是否存在
#2) 外部滲透試驗(yàn)–
這些是從組織外部進(jìn)行的外部攻擊,包括Internet上托管的Web應(yīng)用程序。
人員的行為就像對(duì)內(nèi)部系統(tǒng)了解不多的黑客。
為了模擬此類攻擊,人員將獲得目標(biāo)系統(tǒng)IP,沒有其他信息。他們需要搜索和掃描公共網(wǎng)頁(yè),找到我們的目標(biāo)主機(jī),然后破壞我們找到的主機(jī)。
基本上,它包括服務(wù)器、防火墻和IDS。
網(wǎng)筆方法:可分三個(gè)階段進(jìn)行:
在開始之前,建議您計(jì)劃執(zhí)行類型、執(zhí)行方法、質(zhì)量檢驗(yàn)是否需要任何其他訪問權(quán)限等。
范圍定義–和我們的功能一樣,在功能中,我們?cè)陂_始之前定義了范圍。人員可以使用的文檔–確保人員擁有所有必需的文檔,例如詳細(xì)說明Web系統(tǒng)結(jié)構(gòu),集成點(diǎn),Web服務(wù)集成等文件。人員應(yīng)了解HTTP / HTTPS協(xié)議的基本知識(shí),Web應(yīng)用程序系統(tǒng)結(jié)構(gòu),流量攔截方法。確定成功標(biāo)準(zhǔn)–與我們的功能用例不同,我們可以從用戶需求/功能需求中得到預(yù)期的結(jié)果,而筆則在不同的模型上進(jìn)行。需要定義和批準(zhǔn)成功標(biāo)準(zhǔn)或用例通過標(biāo)準(zhǔn)。查看以前的結(jié)果–如果進(jìn)行了以前的,較好檢查結(jié)果,以了解過去的漏洞和需要采取的補(bǔ)救措施。這總是可以更好地顯示人員的情況。了解環(huán)境–人員應(yīng)在開始前獲得環(huán)境知識(shí)。此步驟應(yīng)確保他們了解防火墻或其他需要禁止的安全協(xié)議。瀏覽器應(yīng)轉(zhuǎn)換為攻擊平臺(tái),通常通過更改來完成。#2)攻擊/執(zhí)行階段(期間):鑒于Internet供應(yīng)商不應(yīng)限制端口和服務(wù),因此可以在任何位置進(jìn)行Web滲透。
確保以不同的用戶角色運(yùn)行–人員應(yīng)確保不同角色的用戶運(yùn)行,因?yàn)樵撓到y(tǒng)可能對(duì)具有不同特權(quán)的用戶表現(xiàn)出不同的行為。了解如何處理以后的使用-人員必須遵循階段1中定義的成功標(biāo)準(zhǔn)來報(bào)告任何使用,也必須遵循報(bào)告中發(fā)現(xiàn)的漏洞的定義過程。該步驟主要涉及人員在發(fā)現(xiàn)系統(tǒng)受到威脅后需要執(zhí)行的操作。生成報(bào)告–沒有適當(dāng)報(bào)告的任何對(duì)組織都沒有幫助,Web應(yīng)用程序滲透也是如此。為確保結(jié)果與所有利益相關(guān)者正確共享,人員應(yīng)創(chuàng)建適當(dāng)?shù)膱?bào)告,詳細(xì)說明方法、嚴(yán)重性和發(fā)現(xiàn)問題的位置。完成并與所有相關(guān)團(tuán)隊(duì)共享報(bào)告后,所有人應(yīng)使用以下列表–
建議采取補(bǔ)救措施–筆試不僅要通過識(shí)別漏洞來結(jié)束。相關(guān)團(tuán)隊(duì),包括質(zhì)量檢驗(yàn)人員,應(yīng)審查檢驗(yàn)人員報(bào)告的發(fā)現(xiàn),然后討論補(bǔ)救措施。重新漏洞–采取補(bǔ)救措施并實(shí)施后,人員應(yīng)重新,以確保固定的漏洞不會(huì)作為重新的一部分。–作為Pentest部分人員會(huì)更改設(shè)置,因此應(yīng)清理并恢復(fù)所有更改。頂級(jí)滲透工具現(xiàn)在,因?yàn)槟阕x了一篇完整的文章,我相信你現(xiàn)在正在如何以及如何滲透Web應(yīng)用程序有更好的想法。
所以告訴我,我們可以手動(dòng)進(jìn)行滲透,還是總是使用工具自動(dòng)進(jìn)行滲透?毫無疑問,我認(rèn)為你們大多數(shù)人都在談?wù)撟詣?dòng)化。
的確,自動(dòng)化帶來了速度,避免了人為錯(cuò)誤、出色的覆蓋率等好處,但是Pen Test它確實(shí)需要我們進(jìn)行一些手動(dòng)。
手動(dòng)有助于發(fā)現(xiàn)與業(yè)務(wù)邏輯相關(guān)的漏洞,從而減少誤報(bào)。
工具容易產(chǎn)生許多誤報(bào),因此需要人工干預(yù)來確定它們是否是真正的漏洞。
另請(qǐng)閱讀 – 如何使用Acunetix Web漏洞掃描程序(WVS)工具Web應(yīng)用程序安全
創(chuàng)建工具,使我們的工作自動(dòng)化。請(qǐng)?jiān)谙旅嬲业揭恍㏄entest工具清單:
免費(fèi)筆試工具Veracode維加打p套房NetSparker阿拉奇尼AcunetixZAP更多工具也可以參考 – 37個(gè)強(qiáng)大的筆試工具適用于每個(gè)滲透儀
:服務(wù)提供商是一家提供滿足組。他們通常擅長(zhǎng)并在不同的領(lǐng)域有專業(yè)知識(shí),并且可以在其托管的環(huán)境中進(jìn)行。
以下是一些提供滲透測(cè):
PSC(支付安全合規(guī))內(nèi)特拉加煤火安全狀態(tài)HIGHBIT安全網(wǎng)絡(luò)態(tài)度360NetSPi控制掃描Skods Minotti2 |哈克實(shí)驗(yàn)室CQR一些滲透認(rèn)證:假如你對(duì)獲得感興趣Web應(yīng)用程序滲透認(rèn)證的認(rèn)證,則可以選擇以下認(rèn)證:
OSWE (攻擊性安全Web專家)GWAPT (GIAC Web應(yīng)用程序滲透器)CWAPT (認(rèn)證Web App滲透儀)eWPT (elearnSecurity Web應(yīng)用程序滲透器)結(jié)論在本教程中,我們總結(jié)了如何對(duì)待它Web滲透試驗(yàn)應(yīng)用程序。
有了這些信息,滲透人員可以開始漏洞。
理想情況下,滲透可以幫助我們創(chuàng)建安全的軟件。這是一種昂貴的方法,所以每年保持頻率一次。
產(chǎn)品推薦