先了解一下為什么需要滲透

當(dāng)我們談?wù)摪踩珪r(shí)，我們較常聽到的詞是 漏洞。

當(dāng)我第一次開始做安全員時(shí)，我經(jīng)常對(duì)漏洞這個(gè)詞感到困惑，我相信你們中的許多人和我的讀者都會(huì)陷入困境。

為了所有讀者的利益，我將首先澄清漏洞與筆試的區(qū)別。

那么，什么是漏洞呢？漏洞是用來識(shí)別系統(tǒng)中可能受到安全威脅的缺陷的術(shù)語。

漏洞掃描

漏洞掃描使用戶能夠找出應(yīng)用程序中已知的弱點(diǎn)，并定義修復(fù)和提高應(yīng)用程序整體安全性的方法。它基本上可以確定安全補(bǔ)丁是否安裝，系統(tǒng)是否正確配置，使攻擊困難。

Pen Tests主要模擬實(shí)時(shí)系統(tǒng)，幫助用戶找出未經(jīng)授權(quán)的用戶是否可以訪問該系統(tǒng)。如果可能的話，可能會(huì)對(duì)數(shù)據(jù)造成什么損壞和損壞。

因此，漏洞掃描是一種調(diào)查控制方法，提出了改進(jìn)安全程序、確保已知漏洞不再出現(xiàn)的方法，筆試是一種預(yù)防性控制方法，可以提供系統(tǒng)現(xiàn)有安全層的整體視圖。

盡管這兩種方法都很重要，但這取決于中實(shí)際預(yù)期的內(nèi)容。

作為人員，的目的必須在進(jìn)入前明確。如果目標(biāo)明確，可以很好地定義是否需要進(jìn)行漏洞掃描或筆試。

重要性和對(duì)Web App Pen要求：

Pentest幫助識(shí)別未知漏洞。幫助檢查整體安全策略的有效性。幫助防火墻、路由器、路由器等開放部件DNS。讓用戶找出較容易受到攻擊的路徑，幫助發(fā)現(xiàn)敏感數(shù)據(jù)被盜的漏洞。

如果您查看當(dāng)前的市場需求，移動(dòng)設(shè)備的使用量將急劇增加，這正成為攻擊的主要潛力。通過移動(dòng)訪問網(wǎng)站更容易受到更頻繁的攻擊，從而損害數(shù)據(jù)。

因此，滲透擔(dān)心黑客入侵或數(shù)據(jù)丟失的情況下，滲透對(duì)建一個(gè)安全的系統(tǒng)是非常重要的。

網(wǎng)絡(luò)滲透方法

該方法只是一套關(guān)于如何的安全行業(yè)標(biāo)準(zhǔn)。有一些公認(rèn)的方法和標(biāo)準(zhǔn)可以用于，但因?yàn)槊恳粋€(gè)Web應(yīng)用程序需要進(jìn)行不同類型的，因此人員可以市場上可用的標(biāo)準(zhǔn)來創(chuàng)建自己的方法。

一些安全方法和標(biāo)準(zhǔn)–

OWASP（開放式Web應(yīng)用程序安全項(xiàng)目)OSSTMM(開源安全方法手冊(cè))PTF(滲透試驗(yàn)框架)ISSAF(信息系統(tǒng)安全評(píng)估框架)href="https:// .pcisecuritystandards.org/pci_security/">PCI DSS(支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))

方案：

下面列出的一些方案可以用作Web應(yīng)用程序滲透（WAPT）的一部分:

跨站腳本SQL注入身份驗(yàn)證和會(huì)話管理中斷文件上傳缺陷緩存服務(wù)器攻擊安全錯(cuò)誤配置跨站請(qǐng)求偽造密碼破解

即使我已經(jīng)提到了清單，人員也不應(yīng)該根據(jù)上述常規(guī)標(biāo)準(zhǔn)盲目創(chuàng)建方法。

這是一個(gè)證明我為什么這么說的例子。

考慮是否可以使用電子商務(wù)網(wǎng)站進(jìn)行滲透OWASP常規(guī)方法(如XSS，SQL注入等。)識(shí)別電子商務(wù)網(wǎng)站的所有漏洞。

答案是否定的，因?yàn)榕c其他網(wǎng)站相比，電子商務(wù)在不同的平臺(tái)和技術(shù)上工作。為了使您對(duì)電子商務(wù)網(wǎng)站的筆試有效，人員應(yīng)設(shè)計(jì)一種方法，如訂單管理、優(yōu)惠券和獎(jiǎng)勵(lì)管理、支付 集成和內(nèi)容管理系統(tǒng)集成等缺陷。

因此，在決定使用哪種方法之前，請(qǐng)確定哪種類型的網(wǎng)站和哪種方法將有助于找到較大的漏洞。

Web滲透試驗(yàn)類型

Web滲透可以通過兩種方式進(jìn)行?？稍O(shè)計(jì)為模擬內(nèi)部或外部攻擊。

#1)內(nèi)部滲透試驗(yàn)–

顧名思義，內(nèi)部筆試在組織內(nèi)部通過LAN因此，它包括內(nèi)部在線托管Web應(yīng)用程序。

防火墻內(nèi)是否可能存在漏洞。

我們一直認(rèn)為攻擊只能發(fā)生在外部，而且經(jīng)常發(fā)生在內(nèi)部Pentest被忽視或不太重視。

基本上，它包括惡意員工攻擊不滿意的員工或承包商，他們辭職，但知道內(nèi)部安全策略和密碼，社會(huì)工程攻擊，模擬網(wǎng)絡(luò)釣魚攻擊，攻擊使用戶特權(quán)或?yàn)E用未鎖定的終端。

主要是在沒有適當(dāng)憑證的情況下訪問環(huán)境，確定是否存在

#2) 外部滲透試驗(yàn)–

這些是從組織外部進(jìn)行的外部攻擊，包括Internet上托管的Web應(yīng)用程序。

人員的行為就像對(duì)內(nèi)部系統(tǒng)了解不多的黑客。

為了模擬此類攻擊，人員將獲得目標(biāo)系統(tǒng)IP，沒有其他信息。他們需要搜索和掃描公共網(wǎng)頁，找到我們的目標(biāo)主機(jī)，然后破壞我們找到的主機(jī)。

基本上，它包括服務(wù)器、防火墻和IDS。

網(wǎng)筆方法：

可分三個(gè)階段進(jìn)行：

#1)規(guī)劃階段(前)

在開始之前，建議您計(jì)劃執(zhí)行類型、執(zhí)行方法、質(zhì)量檢驗(yàn)是否需要任何其他訪問權(quán)限等。

范圍定義–和我們的功能一樣，在功能中，我們?cè)陂_始之前定義了范圍。人員可以使用的文檔–確保人員擁有所有必需的文檔，例如詳細(xì)說明Web系統(tǒng)結(jié)構(gòu)，集成點(diǎn)，Web服務(wù)集成等文件。人員應(yīng)了解HTTP / HTTPS協(xié)議的基本知識(shí)，Web應(yīng)用程序系統(tǒng)結(jié)構(gòu)，流量攔截方法。確定成功標(biāo)準(zhǔn)–與我們的功能用例不同，我們可以從用戶需求/功能需求中得到預(yù)期的結(jié)果，而筆則在不同的模型上進(jìn)行。需要定義和批準(zhǔn)成功標(biāo)準(zhǔn)或用例通過標(biāo)準(zhǔn)。查看以前的結(jié)果–如果進(jìn)行了以前的，較好檢查結(jié)果，以了解過去的漏洞和需要采取的補(bǔ)救措施。這總是可以更好地顯示人員的情況。了解環(huán)境–人員應(yīng)在開始前獲得環(huán)境知識(shí)。此步驟應(yīng)確保他們了解防火墻或其他需要禁止的安全協(xié)議。瀏覽器應(yīng)轉(zhuǎn)換為攻擊平臺(tái)，通常通過更改來完成。#2)攻擊/執(zhí)行階段(期間):

鑒于Internet供應(yīng)商不應(yīng)限制端口和服務(wù)，因此可以在任何位置進(jìn)行Web滲透。

確保以不同的用戶角色運(yùn)行–人員應(yīng)確保不同角色的用戶運(yùn)行，因?yàn)樵撓到y(tǒng)可能對(duì)具有不同特權(quán)的用戶表現(xiàn)出不同的行為。了解如何處理以后的使用-人員必須遵循階段1中定義的成功標(biāo)準(zhǔn)來報(bào)告任何使用，也必須遵循報(bào)告中發(fā)現(xiàn)的漏洞的定義過程。該步驟主要涉及人員在發(fā)現(xiàn)系統(tǒng)受到威脅后需要執(zhí)行的操作。生成報(bào)告–沒有適當(dāng)報(bào)告的任何對(duì)組織都沒有幫助，Web應(yīng)用程序滲透也是如此。為確保結(jié)果與所有利益相關(guān)者正確共享，人員應(yīng)創(chuàng)建適當(dāng)?shù)膱?bào)告，詳細(xì)說明方法、嚴(yán)重性和發(fā)現(xiàn)問題的位置。

#3)實(shí)施后階段(后):

完成并與所有相關(guān)團(tuán)隊(duì)共享報(bào)告后，所有人應(yīng)使用以下列表–

建議采取補(bǔ)救措施–筆試不僅要通過識(shí)別漏洞來結(jié)束。相關(guān)團(tuán)隊(duì)，包括質(zhì)量檢驗(yàn)人員，應(yīng)審查檢驗(yàn)人員報(bào)告的發(fā)現(xiàn)，然后討論補(bǔ)救措施。重新漏洞–采取補(bǔ)救措施并實(shí)施后，人員應(yīng)重新，以確保固定的漏洞不會(huì)作為重新的一部分。–作為Pentest部分人員會(huì)更改設(shè)置，因此應(yīng)清理并恢復(fù)所有更改。頂級(jí)滲透工具

現(xiàn)在，因?yàn)槟阕x了一篇完整的文章，我相信你現(xiàn)在正在如何以及如何滲透Web應(yīng)用程序有更好的想法。

所以告訴我，我們可以手動(dòng)進(jìn)行滲透，還是總是使用工具自動(dòng)進(jìn)行滲透？毫無疑問，我認(rèn)為你們大多數(shù)人都在談?wù)撟詣?dòng)化。

的確，自動(dòng)化帶來了速度，避免了人為錯(cuò)誤、出色的覆蓋率等好處，但是Pen Test它確實(shí)需要我們進(jìn)行一些手動(dòng)。

手動(dòng)有助于發(fā)現(xiàn)與業(yè)務(wù)邏輯相關(guān)的漏洞，從而減少誤報(bào)。

工具容易產(chǎn)生許多誤報(bào)，因此需要人工干預(yù)來確定它們是否是真正的漏洞。

另請(qǐng)閱讀 – 如何使用Acunetix Web漏洞掃描程序（WVS）工具Web應(yīng)用程序安全

創(chuàng)建工具，使我們的工作自動(dòng)化。請(qǐng)?jiān)谙旅嬲业揭恍㏄entest工具清單：

免費(fèi)筆試工具Veracode維加打p套房NetSparker阿拉奇尼AcunetixZAP

更多工具也可以參考 – 37個(gè)強(qiáng)大的筆試工具適用于每個(gè)滲透儀

：

服務(wù)提供商是一家提供滿足組。他們通常擅長并在不同的領(lǐng)域有專業(yè)知識(shí)，并且可以在其托管的環(huán)境中進(jìn)行。

以下是一些提供滲透測：

PSC(支付安全合規(guī))內(nèi)特拉加煤火安全狀態(tài)HIGHBIT安全網(wǎng)絡(luò)態(tài)度360NetSPi控制掃描Skods Minotti2 |哈克實(shí)驗(yàn)室CQR一些滲透認(rèn)證：

假如你對(duì)獲得感興趣Web應(yīng)用程序滲透認(rèn)證的認(rèn)證，則可以選擇以下認(rèn)證：

OSWE (攻擊性安全Web專家）GWAPT （GIAC Web應(yīng)用程序滲透器)CWAPT (認(rèn)證Web App滲透儀)eWPT （elearnSecurity Web應(yīng)用程序滲透器)結(jié)論

在本教程中，我們總結(jié)了如何對(duì)待它Web滲透試驗(yàn)應(yīng)用程序。

有了這些信息，滲透人員可以開始漏洞。

理想情況下，滲透可以幫助我們創(chuàng)建安全的軟件。這是一種昂貴的方法，所以每年保持頻率一次。

http://www.agrivod.com