十年來(lái)，企業(yè)看待 Web 應(yīng)用程序的方式發(fā)生了巨大變化。僅限于開發(fā)后忘記的東西，現(xiàn)在是在全球范圍內(nèi)經(jīng)營(yíng)企業(yè)的強(qiáng)大力量。Web 應(yīng)用程序帶來(lái)了多重變化，尤其是在很大程度上依賴在線交易的行業(yè)。那么，它會(huì)改變整體安全前景嗎？事實(shí)上，確實(shí)如此。

那么處理這兩者的最佳方法是什么？您應(yīng)該研究自動(dòng)Web 應(yīng)用程序掃描還是手動(dòng)滲透測(cè)試？什么是測(cè)試最佳實(shí)踐？企業(yè)必須蓬勃發(fā)展才能在競(jìng)爭(zhēng)中保持領(lǐng)先地位，其中很大一部分包括通過(guò)頻繁更改來(lái)增強(qiáng)用戶體驗(yàn)和界面。當(dāng)沒(méi)有足夠的時(shí)間和資源來(lái)測(cè)試這些應(yīng)用程序時(shí)，問(wèn)題就會(huì)開始浮出水面，尤其是那些可能導(dǎo)致服務(wù)器遭到破壞的漏洞。此外，還有一些特定于業(yè)務(wù)的缺陷會(huì)陷入邏輯悖論，并為黑客提供無(wú)意的破壞機(jī)會(huì)。

Web 應(yīng)用程序測(cè)試問(wèn)題

在您研究 Web 應(yīng)用程序掃描之前，了解為什么保護(hù)應(yīng)用程序如此重要是很重要的。隨著為關(guān)鍵業(yè)務(wù)流程開發(fā)和使用的應(yīng)用程序數(shù)量不斷增加，它們也已成為黑客的主要目標(biāo)。事實(shí)上，據(jù)估計(jì)，如今超過(guò) 75% 的違規(guī)行為發(fā)生在應(yīng)用程序?qū)印Ｒ韵率悄赡芟胍{(diào)查的一些主要威脅。

1. 已知漏洞

憑借數(shù)十年的工作和知識(shí)，來(lái)自 OWASP 和 WASC 的一群信息安全專家每年都會(huì)布置多個(gè)已知的應(yīng)用程序漏洞，這些漏洞可被利用來(lái)破壞安全性。盡管這些漏洞列表并不詳盡，但它們通常被稱為開始保護(hù)應(yīng)用程序的基礎(chǔ)。

目前，根據(jù)各種應(yīng)用程序安全專家的說(shuō)法，注入缺陷位居漏洞列表之首。事實(shí)上，在我們的 IndusGuard Web 測(cè)試中，檢測(cè)到“嚴(yán)重”級(jí)別漏洞的網(wǎng)站中有 91% 存在 SQL 注入漏洞。黑客經(jīng)常在網(wǎng)站上尋找此漏洞，然后使用表單和 URL 等輸入媒介使服務(wù)器執(zhí)行某些命令。您可以在“關(guān)于 SQL 注入您需要了解的一切”中閱讀更多相關(guān)信息

最近，據(jù)報(bào)道，一家領(lǐng)先的歌曲門戶網(wǎng)站的用戶數(shù)據(jù)庫(kù)因 SQL 注入而遭到破壞。數(shù)據(jù)庫(kù)顯示了網(wǎng)站用戶的數(shù)百萬(wàn)用戶記錄，但黑客并沒(méi)有破壞他們。同樣，主要在線出租車服務(wù)的網(wǎng)站也遭到黑客攻擊，暴露了信用卡交易和優(yōu)惠券代碼。以下是 Open Web Application Security Project 列出的一些 Web 應(yīng)用程序漏洞的列表。

2. 業(yè)務(wù)邏輯缺陷

隨著 Web 應(yīng)用程序在本質(zhì)上變得復(fù)雜和多維，漏洞不僅限于眾所周知的因素。有時(shí)，存在由多個(gè)邏輯缺陷導(dǎo)致并最終導(dǎo)致安全性下降的問(wèn)題。

業(yè)務(wù)邏輯缺陷是一種應(yīng)用程序漏洞，由環(huán)境安全漏洞引起。作為一個(gè)獨(dú)一無(wú)二的問(wèn)題，它沒(méi)有通用的解決方案，也無(wú)法通過(guò)自動(dòng) Web 應(yīng)用程序掃描來(lái)檢測(cè)。這是理解這一點(diǎn)的簡(jiǎn)單方法。

“只有了解你業(yè)務(wù)的人才能夠發(fā)現(xiàn)你的業(yè)務(wù)邏輯缺陷。”這是了解業(yè)務(wù)邏輯缺陷的示例。一家著名的股票經(jīng)紀(jì)公司希望其客戶在線交易。他們的虛擬在線交易平臺(tái)專注于增加參與度并通過(guò)兩步流程加快交易速度。

第1步：用戶可以選擇自己選擇的股票、股票數(shù)量，然后點(diǎn)擊“購(gòu)買”。然后應(yīng)用程序計(jì)算交易的總價(jià)值并要求用戶“下訂單”。

第2步：在第1步之后，用戶可以選擇繼續(xù)下單 或取消交易。

問(wèn)題：Web 應(yīng)用程序掃描會(huì)話顯示該應(yīng)用程序沒(méi)有任何 OWASP 或 WASC 漏洞，但存在問(wèn)題。攻擊者實(shí)際上可以在管理員不知情的情況下做出明智的決定并賺取巨額利潤(rùn)。攻擊者必須以當(dāng)前價(jià)格選擇股票，并在確認(rèn)對(duì)話框中凍結(jié)該過(guò)程。如果第二天該特定股票的價(jià)格飆升，他可以確認(rèn)凍結(jié)的交易并以舊的價(jià)格獲得股票。

3. 零日威脅

零日威脅來(lái)自最近公開且仍未修補(bǔ)的漏洞。還有一些“小于零日漏洞”被傳遞到黑客隊(duì)伍中進(jìn)行利用，并且不為世人所知。多年來(lái)，隨著 Heartbleed、POODLE 和 FREAK 等漏洞在全球范圍內(nèi)肆虐，這些未知漏洞的數(shù)量不斷增加。

事實(shí)上，就在幾個(gè)月前，WordPress 正在處理一個(gè)雙零日漏洞，該漏洞允許全球數(shù)千個(gè)網(wǎng)站上的跨站點(diǎn)腳本 (XSS)。這次攻擊針對(duì)的是當(dāng)時(shí)最新版本的 WordPress。攻擊者可以通過(guò)向站點(diǎn)管理員發(fā)送注入的 HTML 消息來(lái)利用此漏洞。攻擊者可以從那里創(chuàng)建帳戶和更改密碼，或者幾乎所有目標(biāo)管理員可以做的事情。

盡管 WordPress 很快就發(fā)布了針對(duì)這些漏洞的補(bǔ)丁，但它給了地下世界足夠的時(shí)間同時(shí)針對(duì)多個(gè)網(wǎng)站。事實(shí)上，許多零日漏洞已經(jīng)多次讓 Adob??e 和 Java 搖搖欲墜。近幾個(gè)月來(lái)，傳輸層安全 (TLS) 和安全套接字層 (SSL) 也遭遇了加密漏洞。

集成 Web 應(yīng)用程序測(cè)試

隨著越來(lái)越多的公司將業(yè)務(wù)流程和數(shù)據(jù)存儲(chǔ)轉(zhuǎn)移到網(wǎng)上，他們也花費(fèi)了大量時(shí)間和精力尋找漏洞評(píng)估程序。不可避免地，選擇歸結(jié)為具有獨(dú)特功能的自動(dòng)和手動(dòng)測(cè)試。

一方面，不可能在每個(gè)微小的 Web 應(yīng)用程序更改后分配專門的時(shí)間和人員進(jìn)行測(cè)試，這是自動(dòng) Web 應(yīng)用程序掃描擅長(zhǎng)的任務(wù)。另一方面，業(yè)務(wù)邏輯缺陷檢測(cè)需要人類思考和操縱，以非常規(guī)的方式進(jìn)行滲透。這使得公司能夠掌控決策者認(rèn)為可行的事情。

我們的問(wèn)題是：為什么您不能在一個(gè)集成的 Web 應(yīng)用程序掃描儀中獲得兩者的好處？為什么它不能同時(shí)提供 OWASP Top 10 的自動(dòng)化測(cè)試和業(yè)務(wù)邏輯缺陷的手動(dòng)滲透測(cè)試？