無(wú)論您擁有處理用戶支付詳細(xì)信息的電子商務(wù)應(yīng)用程序，還是維護(hù)和傳輸患者數(shù)據(jù)的醫(yī)療保健應(yīng)用程序，滲透測(cè)試都可能是確保應(yīng)用程序安全的重要步驟。如今，大多數(shù)企業(yè)主和安全部門(mén)都面臨壓力，要求他們展示安全計(jì)劃投資的投資回報(bào)率，并從預(yù)算中獲得更多收益。根據(jù)我們?yōu)閺V大客戶提供Web應(yīng)用程序滲透測(cè)試服務(wù)的經(jīng)驗(yàn)，公司通常可以從Web應(yīng)用程序滲透測(cè)試預(yù)算中獲得更好的價(jià)值。我們匯集了滲透測(cè)試最佳實(shí)踐，可以幫助您證明物有所值。

Web應(yīng)用程序滲透測(cè)試最佳實(shí)踐

1.準(zhǔn)備Pen測(cè)試環(huán)境

應(yīng)在生產(chǎn)環(huán)境中執(zhí)行Web應(yīng)用滲透測(cè)試。在直接在生產(chǎn)環(huán)境中進(jìn)行測(cè)試時(shí)，您應(yīng)該為滲透測(cè)試儀設(shè)置一定的限制。此外，以不會(huì)減慢您的組織和客戶的網(wǎng)絡(luò)響應(yīng)時(shí)間的方式安排測(cè)試。最重要的限制是不要對(duì)生產(chǎn)運(yùn)行 DoS 攻擊。如果您的滲透測(cè)試無(wú)法在生產(chǎn)環(huán)境中進(jìn)行，請(qǐng)準(zhǔn)備一個(gè)與生產(chǎn)環(huán)境相同的環(huán)境，并為滲透測(cè)試人員生成用戶帳戶。

2. 建立攻擊者角色

為了獲得更好的結(jié)果，必須切實(shí)執(zhí)行基于Web的滲透測(cè)試。在進(jìn)行測(cè)試時(shí)，您應(yīng)該設(shè)身處地為攻擊者設(shè)身處地。您必須像真正的網(wǎng)絡(luò)攻擊者一樣思考和行動(dòng)，具備一套先進(jìn)的動(dòng)機(jī)、目標(biāo)和技能。動(dòng)機(jī)是構(gòu)建黑客角色的重要因素。商業(yè)或金錢(qián)優(yōu)勢(shì)、前商業(yè)伙伴的報(bào)復(fù)、文化或宗教意識(shí)形態(tài)以及同行的認(rèn)可是很少有可能的動(dòng)機(jī)。根據(jù)您應(yīng)該關(guān)注的角色對(duì)角色進(jìn)行排名。以這種方式描繪攻擊者可以幫助您縮小注意力范圍，并幫助您為真正的攻擊做好準(zhǔn)備。

3. 明確設(shè)置測(cè)試邊界

每個(gè)人都應(yīng)該記住的一件事是，網(wǎng)絡(luò)應(yīng)用程序滲透測(cè)試只是一種模擬，而不是真正的攻擊。因此，應(yīng)概述測(cè)試邊界以……

• 誰(shuí)將執(zhí)行測(cè)試？
• 何時(shí)進(jìn)行測(cè)試
• 什么是允許的，什么是不能做的
• 向誰(shuí)發(fā)送所有報(bào)告和通訊

4. 定義Web滲透測(cè)試方法

在滲透測(cè)試最佳實(shí)踐方面，滲透測(cè)試方法是一個(gè)必不可少的步驟，適用于外部和內(nèi)部滲透測(cè)試人員。測(cè)試方法是一組安全指南，您的Web滲透測(cè)試應(yīng)基于這些指南進(jìn)行。確保測(cè)試符合行業(yè)標(biāo)準(zhǔn)安全框架，并包括自動(dòng)和手動(dòng)高級(jí)測(cè)試。

一些重要的安全測(cè)試方法和標(biāo)準(zhǔn)：

• 開(kāi)放Web應(yīng)用程序安全項(xiàng)目 ( OWASP )
• 滲透測(cè)試框架 (PTF)
• 開(kāi)源安全測(cè)試方法手冊(cè) (OSSTMM)
• 信息系統(tǒng)安全評(píng)估框架 (ISSAF)
• 支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI_DSS)

5.之前啟動(dòng)安全監(jiān)視器

如果您真的不想浪費(fèi)寶貴的滲透測(cè)試時(shí)間，最好的做法是實(shí)施安全掃描器或監(jiān)視器。如果您有適當(dāng)?shù)腤eb應(yīng)用程序監(jiān)控來(lái)檢測(cè)您的基本問(wèn)題和漏洞，滲透測(cè)試人員就無(wú)需花費(fèi)精力來(lái)發(fā)現(xiàn)這些問(wèn)題。

6.滲透測(cè)試環(huán)境凍結(jié)開(kāi)發(fā)

滲透測(cè)試的最佳實(shí)踐是測(cè)試整個(gè)應(yīng)用程序，而不是其中的各個(gè)部分。筆測(cè)試將檢測(cè)給定設(shè)置中的漏洞。如果您通過(guò)添加新補(bǔ)丁或程序包或修改硬件組件來(lái)更改該設(shè)置，您將無(wú)法獲得有效的滲透測(cè)試結(jié)果。同樣，不建議在測(cè)試時(shí)解決問(wèn)題，盡管這在某些情況下至關(guān)重要。當(dāng)一個(gè)穩(wěn)定的應(yīng)用程序被測(cè)試時(shí)，您將獲得更權(quán)威的結(jié)果，并獲得更多的金錢(qián)價(jià)值。

7.選擇合適的滲透測(cè)試工具

市場(chǎng)上有很多滲透測(cè)試工具——有些可以免費(fèi)下載和使用，有些是供應(yīng)商提供的。選擇正確的工具主要取決于您使用的滲透測(cè)試環(huán)境。

8. 在內(nèi)部測(cè)試人員和外部筆測(cè)試服務(wù)之間做出選擇

如果內(nèi)部滲透測(cè)試人員具備相關(guān)技能，您可以從他們那里獲得很多優(yōu)勢(shì)。除了節(jié)省成本外，內(nèi)部團(tuán)隊(duì)更熟悉您的應(yīng)用程序。但是，最好選擇專門(mén)的外部Web應(yīng)用程序滲透測(cè)試專業(yè)人??員，以利用更多的專業(yè)知識(shí)和開(kāi)箱即用的觀點(diǎn)。它還確保了基于Web的滲透測(cè)試的組織獨(dú)立性，這不僅確保了意見(jiàn)分歧的最佳實(shí)踐，而且符合 PCI 合規(guī)性的需要。

總結(jié)

Web應(yīng)用程序滲透測(cè)試通過(guò)為您提供有關(guān)黑客可以看到的內(nèi)容的寶貴見(jiàn)解來(lái)加強(qiáng)您的安全立場(chǎng)。您的企業(yè)必須每年進(jìn)行一次或兩次網(wǎng)絡(luò)滲透測(cè)試，并在發(fā)生重大變化時(shí)進(jìn)行。通過(guò)遵循這些Web滲透測(cè)試最佳實(shí)踐，您更有可能利用這個(gè)機(jī)會(huì)朝著正確的方向大放異彩！