無論您擁有處理用戶支付詳細信息的電子商務應用程序，還是維護和傳輸患者數據的醫療保健應用程序，滲透測試都可能是確保應用程序安全的重要步驟。如今，大多數企業主和安全部門都面臨壓力，要求他們展示安全計劃投資的投資回報率，并從預算中獲得更多收益。根據我們為廣大客戶提供Web應用程序滲透測試服務的經驗，公司通常可以從Web應用程序滲透測試預算中獲得更好的價值。我們匯集了滲透測試最佳實踐，可以幫助您證明物有所值。

Web應用程序滲透測試最佳實踐

1.準備Pen測試環境

應在生產環境中執行Web應用滲透測試。在直接在生產環境中進行測試時，您應該為滲透測試儀設置一定的限制。此外，以不會減慢您的組織和客戶的網絡響應時間的方式安排測試。最重要的限制是不要對生產運行 DoS 攻擊。如果您的滲透測試無法在生產環境中進行，請準備一個與生產環境相同的環境，并為滲透測試人員生成用戶帳戶。

2. 建立攻擊者角色

為了獲得更好的結果，必須切實執行基于Web的滲透測試。在進行測試時，您應該設身處地為攻擊者設身處地。您必須像真正的網絡攻擊者一樣思考和行動，具備一套先進的動機、目標和技能。動機是構建黑客角色的重要因素。商業或金錢優勢、前商業伙伴的報復、文化或宗教意識形態以及同行的認可是很少有可能的動機。根據您應該關注的角色對角色進行排名。以這種方式描繪攻擊者可以幫助您縮小注意力范圍，并幫助您為真正的攻擊做好準備。

3. 明確設置測試邊界

每個人都應該記住的一件事是，網絡應用程序滲透測試只是一種模擬，而不是真正的攻擊。因此，應概述測試邊界以……

• 誰將執行測試？
• 何時進行測試
• 什么是允許的，什么是不能做的
• 向誰發送所有報告和通訊

4. 定義Web滲透測試方法

在滲透測試最佳實踐方面，滲透測試方法是一個必不可少的步驟，適用于外部和內部滲透測試人員。測試方法是一組安全指南，您的Web滲透測試應基于這些指南進行。確保測試符合行業標準安全框架，并包括自動和手動高級測試。

一些重要的安全測試方法和標準：

• 開放Web應用程序安全項目 ( OWASP )
• 滲透測試框架 (PTF)
• 開源安全測試方法手冊 (OSSTMM)
• 信息系統安全評估框架 (ISSAF)
• 支付卡行業數據安全標準 (PCI_DSS)

5.之前啟動安全監視器

如果您真的不想浪費寶貴的滲透測試時間，最好的做法是實施安全掃描器或監視器。如果您有適當的Web應用程序監控來檢測您的基本問題和漏洞，滲透測試人員就無需花費精力來發現這些問題。

6.滲透測試環境凍結開發

滲透測試的最佳實踐是測試整個應用程序，而不是其中的各個部分。筆測試將檢測給定設置中的漏洞。如果您通過添加新補丁或程序包或修改硬件組件來更改該設置，您將無法獲得有效的滲透測試結果。同樣，不建議在測試時解決問題，盡管這在某些情況下至關重要。當一個穩定的應用程序被測試時，您將獲得更權威的結果，并獲得更多的金錢價值。

7.選擇合適的滲透測試工具

市場上有很多滲透測試工具——有些可以免費下載和使用，有些是供應商提供的。選擇正確的工具主要取決于您使用的滲透測試環境。

8. 在內部測試人員和外部筆測試服務之間做出選擇

如果內部滲透測試人員具備相關技能，您可以從他們那里獲得很多優勢。除了節省成本外，內部團隊更熟悉您的應用程序。但是，最好選擇專門的外部Web應用程序滲透測試專業人??員，以利用更多的專業知識和開箱即用的觀點。它還確保了基于Web的滲透測試的組織獨立性，這不僅確保了意見分歧的最佳實踐，而且符合 PCI 合規性的需要。

總結

Web應用程序滲透測試通過為您提供有關黑客可以看到的內容的寶貴見解來加強您的安全立場。您的企業必須每年進行一次或兩次網絡滲透測試，并在發生重大變化時進行。通過遵循這些Web滲透測試最佳實踐，您更有可能利用這個機會朝著正確的方向大放異彩！