十年來，企業看待 Web 應用程序的方式發生了巨大變化。僅限于開發后忘記的東西，現在是在全球范圍內經營企業的強大力量。Web 應用程序帶來了多重變化，尤其是在很大程度上依賴在線交易的行業。那么，它會改變整體安全前景嗎？事實上，確實如此。

那么處理這兩者的最佳方法是什么？您應該研究自動Web 應用程序掃描還是手動滲透測試？什么是測試最佳實踐？企業必須蓬勃發展才能在競爭中保持領先地位，其中很大一部分包括通過頻繁更改來增強用戶體驗和界面。當沒有足夠的時間和資源來測試這些應用程序時，問題就會開始浮出水面，尤其是那些可能導致服務器遭到破壞的漏洞。此外，還有一些特定于業務的缺陷會陷入邏輯悖論，并為黑客提供無意的破壞機會。

Web 應用程序測試問題

在您研究 Web 應用程序掃描之前，了解為什么保護應用程序如此重要是很重要的。隨著為關鍵業務流程開發和使用的應用程序數量不斷增加，它們也已成為黑客的主要目標。事實上，據估計，如今超過 75% 的違規行為發生在應用程序層。以下是您可能想要調查的一些主要威脅。

1. 已知漏洞

憑借數十年的工作和知識，來自 OWASP 和 WASC 的一群信息安全專家每年都會布置多個已知的應用程序漏洞，這些漏洞可被利用來破壞安全性。盡管這些漏洞列表并不詳盡，但它們通常被稱為開始保護應用程序的基礎。

目前，根據各種應用程序安全專家的說法，注入缺陷位居漏洞列表之首。事實上，在我們的 IndusGuard Web 測試中，檢測到“嚴重”級別漏洞的網站中有 91% 存在 SQL 注入漏洞。黑客經常在網站上尋找此漏洞，然后使用表單和 URL 等輸入媒介使服務器執行某些命令。您可以在“關于 SQL 注入您需要了解的一切”中閱讀更多相關信息

最近，據報道，一家領先的歌曲門戶網站的用戶數據庫因 SQL 注入而遭到破壞。數據庫顯示了網站用戶的數百萬用戶記錄，但黑客并沒有破壞他們。同樣，主要在線出租車服務的網站也遭到黑客攻擊，暴露了信用卡交易和優惠券代碼。以下是 Open Web Application Security Project 列出的一些 Web 應用程序漏洞的列表。

2. 業務邏輯缺陷

隨著 Web 應用程序在本質上變得復雜和多維，漏洞不僅限于眾所周知的因素。有時，存在由多個邏輯缺陷導致并最終導致安全性下降的問題。

業務邏輯缺陷是一種應用程序漏洞，由環境安全漏洞引起。作為一個獨一無二的問題，它沒有通用的解決方案，也無法通過自動 Web 應用程序掃描來檢測。這是理解這一點的簡單方法。

“只有了解你業務的人才能夠發現你的業務邏輯缺陷。”這是了解業務邏輯缺陷的示例。一家著名的股票經紀公司希望其客戶在線交易。他們的虛擬在線交易平臺專注于增加參與度并通過兩步流程加快交易速度。

第1步：用戶可以選擇自己選擇的股票、股票數量，然后點擊“購買”。然后應用程序計算交易的總價值并要求用戶“下訂單”。

第2步：在第1步之后，用戶可以選擇繼續下單 或取消交易。

問題：Web 應用程序掃描會話顯示該應用程序沒有任何 OWASP 或 WASC 漏洞，但存在問題。攻擊者實際上可以在管理員不知情的情況下做出明智的決定并賺取巨額利潤。攻擊者必須以當前價格選擇股票，并在確認對話框中凍結該過程。如果第二天該特定股票的價格飆升，他可以確認凍結的交易并以舊的價格獲得股票。

3. 零日威脅

零日威脅來自最近公開且仍未修補的漏洞。還有一些“小于零日漏洞”被傳遞到黑客隊伍中進行利用，并且不為世人所知。多年來，隨著 Heartbleed、POODLE 和 FREAK 等漏洞在全球范圍內肆虐，這些未知漏洞的數量不斷增加。

事實上，就在幾個月前，WordPress 正在處理一個雙零日漏洞，該漏洞允許全球數千個網站上的跨站點腳本 (XSS)。這次攻擊針對的是當時最新版本的 WordPress。攻擊者可以通過向站點管理員發送注入的 HTML 消息來利用此漏洞。攻擊者可以從那里創建帳戶和更改密碼，或者幾乎所有目標管理員可以做的事情。

盡管 WordPress 很快就發布了針對這些漏洞的補丁，但它給了地下世界足夠的時間同時針對多個網站。事實上，許多零日漏洞已經多次讓 Adob??e 和 Java 搖搖欲墜。近幾個月來，傳輸層安全 (TLS) 和安全套接字層 (SSL) 也遭遇了加密漏洞。

集成 Web 應用程序測試

隨著越來越多的公司將業務流程和數據存儲轉移到網上，他們也花費了大量時間和精力尋找漏洞評估程序。不可避免地，選擇歸結為具有獨特功能的自動和手動測試。

一方面，不可能在每個微小的 Web 應用程序更改后分配專門的時間和人員進行測試，這是自動 Web 應用程序掃描擅長的任務。另一方面，業務邏輯缺陷檢測需要人類思考和操縱，以非常規的方式進行滲透。這使得公司能夠掌控決策者認為可行的事情。

我們的問題是：為什么您不能在一個集成的 Web 應用程序掃描儀中獲得兩者的好處？為什么它不能同時提供 OWASP Top 10 的自動化測試和業務邏輯缺陷的手動滲透測試？