滲透測(cè)試是通過(guò)受信任的滲透測(cè)試人員/安全專(zhuān)家模擬對(duì)應(yīng)用程序的實(shí)時(shí)網(wǎng)絡(luò)攻擊來(lái)評(píng)估安全措施的強(qiáng)度和有效性的過(guò)程。這些攻擊是在安全條件下由測(cè)試人員使用正確組合的滲透測(cè)試工具手動(dòng)模擬的。筆測(cè)試是綜合應(yīng)用程序安全測(cè)試和整體 Web 應(yīng)用程序安全性的關(guān)鍵部分。

為什么減少欺詐至關(guān)重要？

近年來(lái)備受矚目的跨行業(yè)攻擊浪潮突顯出，即使是雅虎和 Facebook 等全球科技巨頭也無(wú)法完全免于成為攻擊者的目標(biāo)。雖然大企業(yè)擁有從攻擊中恢復(fù)的資源和影響力，但眾所周知，60% 的中小型企業(yè)會(huì)在遭受攻擊后 6 個(gè)月內(nèi)倒閉。

欺詐的影響在財(cái)務(wù)成本、法律影響、消費(fèi)者信任侵蝕和聲譽(yù)損害方面是巨大的。一次攻擊的全球平均成本為 392 萬(wàn)美元，而美國(guó)是網(wǎng)絡(luò)攻擊成本最高的國(guó)家，每次違規(guī)的平均成本高達(dá) 819 萬(wàn)美元。

此外，已知識(shí)別和遏制漏洞所需的時(shí)間為 279 天，這增加了成本。如果在 200 天或更短時(shí)間內(nèi)發(fā)現(xiàn)并控制違規(guī)行為，企業(yè)可以節(jié)省 120 萬(wàn)美元。然而，通過(guò)主動(dòng)掃描和測(cè)試應(yīng)用程序、識(shí)別漏洞并保護(hù)它們，可以極大地減少欺詐的影響和成本。

應(yīng)用滲透測(cè)試如何幫助減少欺詐？

通過(guò)自動(dòng)掃描和測(cè)試識(shí)別難以發(fā)現(xiàn)的漏洞。雖然自動(dòng)掃描器在識(shí)別漏洞和安全錯(cuò)誤配置方面注入了速度和敏捷性，但如果沒(méi)有手動(dòng)滲透測(cè)試（單獨(dú)或與自動(dòng)化工具結(jié)合使用），某些類(lèi)別的漏洞根本無(wú)法識(shí)別。

• 價(jià)格或其他參數(shù)操縱、權(quán)限提升、業(yè)務(wù)流程旁路等業(yè)務(wù)邏輯缺陷。
• 連鎖攻擊
• 不安全的直接對(duì)象引用 (IDOR) 缺陷
• 零日漏洞利用
• 基于 DOM 的 XSS

在所有這些情況下，由于缺陷的特殊性和復(fù)雜性，無(wú)法使用通用方法和自動(dòng)化工具識(shí)別漏洞。經(jīng)過(guò)認(rèn)證和值得信賴(lài)的安全專(zhuān)家的專(zhuān)業(yè)知識(shí)、非常規(guī)思維和技能對(duì)于有效識(shí)別此類(lèi)漏洞至關(guān)重要。

了解如何利用漏洞和錯(cuò)誤配置

盡管自動(dòng)掃描器和其他工具可以識(shí)別漏洞和錯(cuò)誤配置，但了解攻擊者可以通過(guò)哪些方式實(shí)時(shí)利用它們至關(guān)重要。這是通過(guò)可信賴(lài)的安全專(zhuān)家進(jìn)行的滲透測(cè)試實(shí)現(xiàn)的。花費(fèi)大量時(shí)間和思想來(lái)理解和分析欺詐將如何在現(xiàn)實(shí)生活中展開(kāi)。例如，某些滲透測(cè)試工具可用于編排盲目 SQLi 并衡量漏洞是否存在并展示其影響。

有效的風(fēng)險(xiǎn)評(píng)估

通過(guò)衡量漏洞的影響和潛在威脅實(shí)現(xiàn)的可能性，滲透測(cè)試證明了組織面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)。還可以根據(jù)滲透測(cè)試的結(jié)果對(duì)風(fēng)險(xiǎn)進(jìn)行優(yōu)先排序。

了解人類(lèi)意識(shí)水平

人是任何組織中最大的弱點(diǎn)，尤其是在發(fā)生社會(huì)工程攻擊、詐騙等欺詐的情況下。通過(guò)衡量他們對(duì)良好安全實(shí)踐的意識(shí)水平，可以了解和了解各利益相關(guān)者在安全培訓(xùn)/意識(shí)方面的差距，并糾正。例如，滲透測(cè)試人員可能會(huì)向員工/客戶(hù)發(fā)送網(wǎng)絡(luò)釣魚(yú)電子郵件，或者對(duì)利益相關(guān)者進(jìn)行欺騙以獲取對(duì)公司記錄/機(jī)密數(shù)據(jù)的訪問(wèn)權(quán)限。

測(cè)試反欺詐安全措施的有效性

滲透測(cè)試使企業(yè)能夠評(píng)估和證明當(dāng)前安全在減輕網(wǎng)絡(luò)欺詐方面的有效性。如果應(yīng)用程序設(shè)計(jì)/業(yè)務(wù)邏輯發(fā)生變化或新增內(nèi)容，這一點(diǎn)尤為重要。

緩解建議

鑒于漏洞識(shí)別只是Web 應(yīng)用程序安全的一部分，因此必須緊隨其后進(jìn)行補(bǔ)救和風(fēng)險(xiǎn)緩解。滲透測(cè)試完成后，將提供詳細(xì)報(bào)告以及滲透測(cè)試人員的建議和可操作的見(jiàn)解，以保護(hù)應(yīng)用程序并加強(qiáng)安全措施。

結(jié)論

從社會(huì)工程攻擊、詐騙和身份盜竊到數(shù)據(jù)泄露、權(quán)限升級(jí)、惡意軟件攻擊等等，欺詐/攻擊向量在快速增長(zhǎng)。鑒于漏洞破壞企業(yè)的能力，在應(yīng)用程序安全方面始終需要領(lǐng)先攻擊者一步。滲透測(cè)試是減少欺詐和主動(dòng)網(wǎng)絡(luò)安全的重要武器。