我們中的許多人每年都會接受全面的健康檢查。我們所有人都希望測試不會帶來任何嚴重的問題，但我們希望得到一切都很好的保證。這些健康檢查很重要，因為它們可以指出可能不明顯或不可見的健康問題和癥狀。滲透測試（penetration test）就是為組織做的。

什么是滲透測試？

滲透測試是由經過認證的安全專業人員在安全條件下進行的模擬實時網絡攻擊，以檢測易受惡意代碼注入、惡意軟件、未授權進入、攻擊等影響的漏洞、漏洞、漏洞、錯誤配置等。

它如何幫助組織？

安全專家/道德黑客，借助滲透測試工具，攻破前后端服務器、API等，突破前端應用安全、網絡安全，獲取關鍵資產。他們通過調整規則和邏輯、更改參數、制作腳本來進一步利用漏洞，深入了解其性質、規模、嚴重性、所涉及的風險等。

滲透測試使組織能夠了解他們的安全健康狀況和 Web 應用程序的性能，以及他們采用的不同安全解決方案、基礎設施、流程和技術。它還可以幫助他們了解不同漏洞和弱點的業務影響，并通過使他們能夠更快地彌補這些差距，使組織處于戰略地位。

滲透測試尋找的漏洞類型

在基礎設施層面……

1.密碼漏洞：弱密碼和默認密碼是攻擊者訪問組織的關鍵資產和系統并破壞它們的最簡單方法。滲透測試可幫助組織發現這個看似微不足道但非常關鍵的漏洞。

2.過時和未打補丁的應用程序：定期和一致地更新軟件和應用程序（包括操作系統）的重要性怎么強調都不為過，因為它們包含保護您的 Web 應用程序和系統的關鍵補丁。攻擊者經常使用這些過時的應用程序、進程、系統和軟件來破壞應用程序和網站。

3.配置錯誤問題：開放端口、過度暴露的功能和服務、網絡配置錯誤等很容易被攻擊者和壞人利用。這些錯誤配置對組織應用程序和服務器的機密性、完整性和可用性有很大影響。

在應用層面……

1、注入漏洞：大多數情況下，攻擊者試圖利用應用程序中的漏洞，將代碼、命令、腳本等形式的惡意負載注入 Web 應用程序，以訪問數據庫、后端服務器、敏感信息等。最常用的漏洞是評論、提交表單、聯系表單和其他輸入字段中未過濾和無效輸入、代碼和命令的權限。攻擊者還可以使用不會從 Web 應用程序/網站中定期清除的遺留和過時的功能。

Heartland Payment Systems 在 2008 年面臨大規模違規，通過 SQL 注入攻擊安裝的間諜軟件暴露了 1.34 億用戶的信用卡和借記卡詳細信息，并因此被禁止為信用卡專業人士處理付款。滲透測試通過安全專家的技能和創造性思維能力，暴露了這些已知的OWASP 頂級漏洞（SQL 注入、XSS 攻擊等），避免了這種巨大的災難。

2、加密、認證和授權缺陷/漏洞：數據加密確保數據存儲、傳輸和通信的安全。當企業不使用 SSL、TLS 等安全加密協議并使用弱方法或不使用任何加密并以明文形式保存數據時，它們會使應用程序和數據容易受到攻擊。2018 年的 Panera Bread 數據泄露事件暴露了 3700 萬客戶的敏感信息，因為數據以明文形式存儲。

身份驗證和授權缺陷，例如弱密碼或默認密碼、破壞訪問控制、濫用授權、濫用會話管理特權等，最常被攻擊者用來獲取對敏感用戶數據的訪問權限。由于這些漏洞，會發生中間人攻擊。滲透測試使組織能夠衡量數據存儲和通信的安全級別。

3、業務邏輯漏洞：業務邏輯是 UI 與數據庫和軟件系統之間的連接器和通信器，使用戶能夠無縫地使用 Web 應用程序/網站。業務邏輯中的差距、錯誤、重疊和缺陷會產生環境漏洞，攻擊者可以利用這些漏洞發送合法值和請求（而不是格式錯誤和惡意的值和請求）來編排攻擊。這些漏洞無法通過自動掃描發現。它需要安全專業人員的專業知識。

4、易損組件：使用具有已知漏洞的框架、軟件、庫等會在網站/網絡應用程序中創建易受攻擊的組件，這些組件很容易通過滲透測試識別。重要的是要注意，每個組織都有獨特的需求和安全狀況，并且不建議進行一刀切的滲透測試。聘請經過認證的安全專家了解您的業務的獨特需求，這樣您就可以專注于核心業務，同時他們會照顧您的安全需求。