新的業務創新和不斷增長的威脅態勢增加了企業遭受網絡攻擊的風險。此外，開放漏洞為安全漏洞利用提供了一個潛在的切入點，這會破壞業務運營甚至關閉業務運營。Contrast Security的一項新研究顯示，96% 的應用程序包含一些漏洞，而前五個漏洞的利用次數上升了 179%。

同樣，來自Veracode 報告的數據表明，當今 76% 的應用程序至少存在一個安全漏洞。這些發現證明，我們永遠不會 100% 免受安全攻擊。但是，了解漏洞后，我們可以建設一個更安全的未來。公司花費數百萬美元購買安全軟件以抵御安全攻擊。

他們使用自動化滲透測試來發現關鍵應用系統（后端/前端服務器、API 等）中的漏洞。您可以首先使用免費網站安全掃描查找常見的 OWASP 漏洞。

對于關鍵業務應用程序，僅靠自動化 Web 滲透測試不足以確保存在潛在漏洞。自動和手動滲透測試對于確保主要業務運營不受攻擊破壞或影響至關重要。

公司采用的?Web應用程序滲透測試方法可以極大地影響其成功。讓我們討論一下滲透測試方法，以便您為這種安全測試做好準備。

什么是滲透測試？

滲透測試，也稱為滲透測試或滲透測試，是一種識別、利用和報告漏洞的過程。這些漏洞可能存在于任何系統中，包括應用程序、服務或操作系統。

為什么要進行滲透測試？

網絡犯罪的平均成本增長速度比以往任何時候都快。IBM 研究強調，數據泄露的成本已達到 424 萬美元，比去年增長近 10%。有一個應用程序安全程序可以在黑客利用它們之前識別和修復安全漏洞，這是基本的。

• 應用程序中的安全漏洞會中斷性能并導致直接的經濟損失和聲譽損害。負面新聞報道和客戶忠誠度下降通常伴隨著罰款和處罰。
• 滲透測試可識別所有漏洞，并幫助在線企業首先專注于保護面向客戶的敏感數據服務。
• 新技術的采用和對云的依賴使應用程序成為黑客的頭號目標。如今，保護應用程序與保護網絡資源一樣重要。

Web 應用程序滲透測試方法論

應用程序滲透測試方法論

第 1 步：目標偵察

在開始滲透測試之前，道德黑客或“滲透測試人員”會收集有關應用程序的所有信息。這個介紹性步驟稱為“偵察”，黑客經常使用它來選擇簡單的目標。

被動偵察：道德黑客結合使用工具和對應用程序的研究。每一條信息都得心應手。有關 DNS、WHOIS 數據庫和 Web 服務器類型的信息提供了有關測試人員應如何執行攻擊的初步信息。

主動偵察：一旦滲透測試人員或黑客掌握了有關目標應用程序的所有基本信息，他就會通過向目標系統發送數據包來進入下一階段。這可以是查找漏洞、防火墻和DDoS 保護工具的手動或自動任務。這里有一些流行的黑客工具。

• Nessus——漏洞掃描器
• AMAP——應用程序映射器。AMAP 使用 NMAP 的結果來挖掘更多信息。
• Paratrace?– 利用選定的 TTL 消息的 TCP Traceroute

第 2 步：業務流程和應用程序邏輯映射

攻擊者不再針對OWASP Top 10 漏洞；他們超越通常的漏洞，深入研究應用程序的邏輯以發現特定于業務的漏洞。

以下是自動化工具會遺漏的業務邏輯缺陷示例。

• 電子商務網站允許用戶將商品添加到購物車、查看摘要頁面然后付款。如果他們可以返回到摘要頁面，保持相同的有效會話并為商品注入更低的成本并完成支付交易，會怎樣？
• 用戶能否在購物車中無限持有商品并阻止其他人購買？
• 用戶能否以折扣價鎖定購物車中的商品并在幾個月后購買？
• 如果用戶通過忠誠度帳戶預訂商品并獲得忠誠度積分但在交易完成前取消怎么辦？

滲透測試人員考慮可用于利用應用程序中的弱點的所有業務流程和應用程序邏輯。

第 3 步：自動化測試

在頻繁測試方面，沒有什么比每天或按計劃查找弱點的軟件和工具更勝一籌了。自動化是滲透測試方法的重要組成部分，尤其是當應用程序經常發生變化時。該過程包括根據前兩個步驟的輸入配置安全測試工具。數據被輸入到測試工具中，以查找經過身份驗證和開放的應用程序服務的漏洞。

• 無需雇用或培訓安全人員即可頻繁自動掃描
• 最常見漏洞的快速報告，包括 OWASP、開源和第三方軟件問題
• 工具可以根據需要進行縮放。單個掃描儀可以測試數千個應用程序

第 4 步：手動滲透測試

無論自動化工具多么智能，它仍然會遺漏一些漏洞。根據 OWASP，每個應用程序都有不同的業務流程，并且應用程序特定的邏輯可以通過無數種方式進行操作。并非所有問題都可以通過自動化找到。

業務邏輯缺陷和授權問題等漏洞總是需要人類的專業知識。道德黑客或滲透測試人員（與黑客/測試人員團隊）花費數小時尋找可能危及應用程序功能的弱點。

• 完全覆蓋標準漏洞以及復合和邏輯缺陷
• PCI DSS、GLBA、HIPAA、FISMA 和 NERC CIP 法規

第 5 步：評估和報告

自動和手動 Web 滲透測試完成后，僅發布結果是不夠的。大多數互聯網企業都想了解缺陷、原因及其對業務的影響。任何希望保護其應用程序免受攻擊的組織都應該投資于獲得準確、可量化和可解決的結果。

理想的筆測試報告應包含：

• 漏洞數量
• 漏洞類型
• 漏洞的嚴重程度
• 商業沖擊
• 整治指導
• 測試者的觀察
• 分析

通過即時保護獲得全面的滲透測試

幫助全球在線企業有效地管理其應用程序安全程序。我們的滲透測試流程由 AppTrana提供的即時Web 應用程序防火墻保護支持，涵蓋OWASP Top 10、SANS Top 25 和業務邏輯漏洞。