我們中的許多人每年都會(huì)接受全面的健康檢查。我們所有人都希望測(cè)試不會(huì)帶來(lái)任何嚴(yán)重的問(wèn)題，但我們希望得到一切都很好的保證。這些健康檢查很重要，因?yàn)樗鼈兛梢灾赋隹赡懿幻黠@或不可見(jiàn)的健康問(wèn)題和癥狀。滲透測(cè)試（penetration test）就是為組織做的。

什么是滲透測(cè)試？

滲透測(cè)試是由經(jīng)過(guò)認(rèn)證的安全專業(yè)人員在安全條件下進(jìn)行的模擬實(shí)時(shí)網(wǎng)絡(luò)攻擊，以檢測(cè)易受惡意代碼注入、惡意軟件、未授權(quán)進(jìn)入、攻擊等影響的漏洞、漏洞、漏洞、錯(cuò)誤配置等。

它如何幫助組織？

安全專家/道德黑客，借助滲透測(cè)試工具，攻破前后端服務(wù)器、API等，突破前端應(yīng)用安全、網(wǎng)絡(luò)安全，獲取關(guān)鍵資產(chǎn)。他們通過(guò)調(diào)整規(guī)則和邏輯、更改參數(shù)、制作腳本來(lái)進(jìn)一步利用漏洞，深入了解其性質(zhì)、規(guī)模、嚴(yán)重性、所涉及的風(fēng)險(xiǎn)等。

滲透測(cè)試使組織能夠了解他們的安全健康狀況和 Web 應(yīng)用程序的性能，以及他們采用的不同安全解決方案、基礎(chǔ)設(shè)施、流程和技術(shù)。它還可以幫助他們了解不同漏洞和弱點(diǎn)的業(yè)務(wù)影響，并通過(guò)使他們能夠更快地彌補(bǔ)這些差距，使組織處于戰(zhàn)略地位。

滲透測(cè)試尋找的漏洞類型

在基礎(chǔ)設(shè)施層面……

1.密碼漏洞：弱密碼和默認(rèn)密碼是攻擊者訪問(wèn)組織的關(guān)鍵資產(chǎn)和系統(tǒng)并破壞它們的最簡(jiǎn)單方法。滲透測(cè)試可幫助組織發(fā)現(xiàn)這個(gè)看似微不足道但非常關(guān)鍵的漏洞。

2.過(guò)時(shí)和未打補(bǔ)丁的應(yīng)用程序：定期和一致地更新軟件和應(yīng)用程序（包括操作系統(tǒng)）的重要性怎么強(qiáng)調(diào)都不為過(guò)，因?yàn)樗鼈儼Ｗo(hù)您的 Web 應(yīng)用程序和系統(tǒng)的關(guān)鍵補(bǔ)丁。攻擊者經(jīng)常使用這些過(guò)時(shí)的應(yīng)用程序、進(jìn)程、系統(tǒng)和軟件來(lái)破壞應(yīng)用程序和網(wǎng)站。

3.配置錯(cuò)誤問(wèn)題：開(kāi)放端口、過(guò)度暴露的功能和服務(wù)、網(wǎng)絡(luò)配置錯(cuò)誤等很容易被攻擊者和壞人利用。這些錯(cuò)誤配置對(duì)組織應(yīng)用程序和服務(wù)器的機(jī)密性、完整性和可用性有很大影響。

在應(yīng)用層面……

1、注入漏洞：大多數(shù)情況下，攻擊者試圖利用應(yīng)用程序中的漏洞，將代碼、命令、腳本等形式的惡意負(fù)載注入 Web 應(yīng)用程序，以訪問(wèn)數(shù)據(jù)庫(kù)、后端服務(wù)器、敏感信息等。最常用的漏洞是評(píng)論、提交表單、聯(lián)系表單和其他輸入字段中未過(guò)濾和無(wú)效輸入、代碼和命令的權(quán)限。攻擊者還可以使用不會(huì)從 Web 應(yīng)用程序/網(wǎng)站中定期清除的遺留和過(guò)時(shí)的功能。

Heartland Payment Systems 在 2008 年面臨大規(guī)模違規(guī)，通過(guò) SQL 注入攻擊安裝的間諜軟件暴露了 1.34 億用戶的信用卡和借記卡詳細(xì)信息，并因此被禁止為信用卡專業(yè)人士處理付款。滲透測(cè)試通過(guò)安全專家的技能和創(chuàng)造性思維能力，暴露了這些已知的OWASP 頂級(jí)漏洞（SQL 注入、XSS 攻擊等），避免了這種巨大的災(zāi)難。

2、加密、認(rèn)證和授權(quán)缺陷/漏洞：數(shù)據(jù)加密確保數(shù)據(jù)存儲(chǔ)、傳輸和通信的安全。當(dāng)企業(yè)不使用 SSL、TLS 等安全加密協(xié)議并使用弱方法或不使用任何加密并以明文形式保存數(shù)據(jù)時(shí)，它們會(huì)使應(yīng)用程序和數(shù)據(jù)容易受到攻擊。2018 年的 Panera Bread 數(shù)據(jù)泄露事件暴露了 3700 萬(wàn)客戶的敏感信息，因?yàn)閿?shù)據(jù)以明文形式存儲(chǔ)。

身份驗(yàn)證和授權(quán)缺陷，例如弱密碼或默認(rèn)密碼、破壞訪問(wèn)控制、濫用授權(quán)、濫用會(huì)話管理特權(quán)等，最常被攻擊者用來(lái)獲取對(duì)敏感用戶數(shù)據(jù)的訪問(wèn)權(quán)限。由于這些漏洞，會(huì)發(fā)生中間人攻擊。滲透測(cè)試使組織能夠衡量數(shù)據(jù)存儲(chǔ)和通信的安全級(jí)別。

3、業(yè)務(wù)邏輯漏洞：業(yè)務(wù)邏輯是 UI 與數(shù)據(jù)庫(kù)和軟件系統(tǒng)之間的連接器和通信器，使用戶能夠無(wú)縫地使用 Web 應(yīng)用程序/網(wǎng)站。業(yè)務(wù)邏輯中的差距、錯(cuò)誤、重疊和缺陷會(huì)產(chǎn)生環(huán)境漏洞，攻擊者可以利用這些漏洞發(fā)送合法值和請(qǐng)求（而不是格式錯(cuò)誤和惡意的值和請(qǐng)求）來(lái)編排攻擊。這些漏洞無(wú)法通過(guò)自動(dòng)掃描發(fā)現(xiàn)。它需要安全專業(yè)人員的專業(yè)知識(shí)。

4、易損組件：使用具有已知漏洞的框架、軟件、庫(kù)等會(huì)在網(wǎng)站/網(wǎng)絡(luò)應(yīng)用程序中創(chuàng)建易受攻擊的組件，這些組件很容易通過(guò)滲透測(cè)試識(shí)別。重要的是要注意，每個(gè)組織都有獨(dú)特的需求和安全狀況，并且不建議進(jìn)行一刀切的滲透測(cè)試。聘請(qǐng)經(jīng)過(guò)認(rèn)證的安全專家了解您的業(yè)務(wù)的獨(dú)特需求，這樣您就可以專注于核心業(yè)務(wù)，同時(shí)他們會(huì)照顧您的安全需求。