在当前的数字环境中,IT的里程碑式增长是企业组织和企业的数字化。为了扩大市场范围并促进业务发展,许多组织都转向了互联网。这导致了新的商业浪潮,在网络空间创造了商业环境。这样,公司和客户的公文和机密文件都可以上传到互联网上,方便用户随时查阅。通常情况下,网站受到保护免受黑客攻击,但仍然需要强大的安全性来保存和保护机密文件和知识产权。这种安全保障是为了抵御来自黑客的网络攻击或网络欺凌。在这种情况下,Web渗透测试是安全专业人员防止此类网络入侵的最佳工具之一。1、什么是网络渗透测试?渗透测试是对计算机系统进行的模拟网络攻击,目的是发现可能被利用的漏洞。这是一种自我评估测试,用于评估计算机系统和网络中可利用的漏洞。网络渗透测试是网络安全专业人员用来评估现有网络安全工具的完整性和有效性的网络评估工具。这是对对现有网络安全实施构成威胁的风险因素的详细安全评估。通过分析和扫描公司的数字资源和网络,网络渗透测试能够检测出任何现有的漏洞。一旦发现漏洞,就会对其进行检查,看是否可以通过渗透测试被黑客利用。Web渗透测试针对基于Web的客户端应用程序,它涵盖了当今企业组织使用的大多数应用程序。由于Web应用程序的广泛使用,Web渗透测试是任何Web安全解决方案的重要组成部分。这是因为这些基于Web的应用程序可以让黑客访问个人身份信息(PII)——知识产权、受保护的健康信息以及他们不想访问的机密网络和资源。这使得基于Web的客户端应用程序受到攻击的威胁非常严重。由于基于Web的应用程序越来越容易受到外部攻击,因此定期评估您的网络安全实施非常重要。组织如何应对成功的渗透可以发现可以在受到攻击之前修复的操作和组织缺陷。2.网络渗透测试基础Web渗透测试的方法和工具很多。网络安全专业人员偶尔会在沙盒环境中的服务器上使用黑客唾手可得的间谍软件。有时,专家可能会对当前活动的系统进行渗透测试,以评估其普遍存在的弱点。由于可用的方法范围很广,因此简化Web渗透测试的过程可能很困难。以下是三种类型的网络渗透:(1)黑盒测试这种类型的渗透测试是在网络安全专家和测试人员事先不知道目标的情况下进行的。在渗透测试期间,测试人员了解目标、评估系统和应用程序、发现缺陷并尝试利用这些缺陷。这种黑盒测试的好处是可以准确模拟网络攻击过程。测试人员必须像恶意参与者一样与目标作战并透露重要信息。黑盒渗透测试的一个缺点是它需要花费大量时间和精力。黑盒测试比其他测试范围更广,但缺点是费时费力。(2)白盒测试在白盒测试中,专家提前了解公司的网络状况和薄弱环节。白盒测试比黑盒测试更常见,用于检查特定缺陷带来的风险。白盒测试不像黑盒测试那样费力,因为测试人员可以访问目标系统上可用的信息。白盒测试的优势之一是可以集中并准确检测漏洞。(3)灰盒测试正如黑白结合产生灰色一样,灰盒测试结合了黑盒和白盒测试。在这里,渗透专家通常对目标有一些了解,但没有白盒测试那么详细的信息。在渗透测试开始之前,公司可能会提供黑客通常也可以访问的基本信息。每种测试方法都针对基于客户和安全审计员的不同功能。相比之下,黑盒测试模拟真实的黑客攻击,可以提供公司漏洞如何被外部评估和利用的重要信息;盒测非常彻底,可以用来渗透测试所有的客户端web程序。3.网络渗透测试方法正如渗透测试的方法不同一样,部署这些测试以评估系统的方法也不同。这就是为什么要确定一种所有人都使用的通用渗透测试方法具有挑战性的原因。相反,一般的Web渗透方法可以描述部署Web渗透测试的步骤。这些方法包括侦察、扫描、漏洞评估、漏洞评估和访问、维护和报告。(1)侦察网络渗透测试一般从侦察开始。在侦察过程中,测试人员对目标的了解越多越好。这包括公司运营、系统和组织结构的详细信息。具体来说,需要收集网络拓扑、用户账户、操作系统和应用程序等信息以及其他相关数据。此信息可以提供对潜在攻击向量的预测性见解。在白盒渗透测试等网络渗透测试类型中,侦察可能会受到限制甚至完全忽略,通常在充分了解目标和与测试本身相关的所有数据的情况下进行部署。在黑盒渗透测试中,侦察阶段通常是乏味且耗时的,因为它可能需要大量的信息收集方法,包括社会工程。侦察可以采用主动侦察或被动侦察。如果通过对目标系统的攻击收集到的信息不向公众公开,则为主动调查;如果收集到的信息已经公开,则属于被动调查。(2)扫描扫描阶段是获取目标系统信息后的下一步。扫描过程包括检查目标是否存在漏洞。有很多方法可以使用不同的工具和策略来做到这一点。此阶段的目的是识别可能允许测试人员轻松访问系统或数据的任何漏洞。一般来说,所有开放的端口都会被识别和检查,因为开放的端口是黑客侵入系统的切入点。漏洞扫描也可以作为综合安全评估的一部分,其目的是一样的:暴露任何弱点。但在渗透测试之前,它不会显示漏洞带来的威胁。(3)漏洞评估这个阶段与扫描阶段类似,但会做更多的工作。在这里,在所有侦察和扫描阶段收集的数据用于检测潜在的漏洞并检查它们是否可以被黑客利用。当与其他渗透测试阶段相结合时,此阶段的评估尤为重要。(4)Exploitation在对系统的缺陷进行评估后,测试人员将尝试通过漏洞访问系统或数据,这称为exploitation阶段。这些漏洞通常是由补丁管理不足或软件过时引起的,这使得黑客可以无缝地访问敏感系统。通过专注于攻击服务器漏洞,测试人员尝试使用工具访问互联网应用程序或机密数据来模拟真实的攻击。漏洞的利用非常微妙,因为它会绕过系统的安全机制,因此测试人员必须小心不要危及系统。这个阶段不应局限于单一的攻击策略或方法。由于许多应用程序、网络和设备都连接到Internet,因此在开发阶段使用了许多不同的方法和技术。(5)访问、维护和报告模拟攻击漏洞后,在发布详细报告之前维护访问权限是Web渗透测试的最后一步。渗透测试人员可能会评估他们是否可以在一段时间内访问重要数据或系统而不被发现。在此阶段,测试人员可以尝试增加对系统的访问权限,以获得对其他系统或数据的访问权限;这将有助于更广泛的评估。该阶段提供安全响应、访问控制流程、系统恢复能力等重要信息。完成所有阶段后,测试人员编写一份报告,记录渗透测试过程和结果。详细报告包括技术风险和影响评估、补救措施和专业建议。然后以此为指导,完善系统安全架构。4.网络渗透测试的好处抵御网络攻击防止代价高昂的安全事件遵守法律法规有助于了解网络防御的潜力从竞争对手那里获取谈判筹码让网络安全专业人员了解最新趋势和技术5.依赖结论对于很多提供IT相关产品和解决方案的组织和企业来说,系统不安全是一个巨大的隐患。如果每次渗透测试都做的不一样,那么它的部署方式应该尽可能的全面。测试的深度和广度取决于您想要实现的渗透目标。一般来说,目标是识别可利用的漏洞并解决它们以防止网络攻击。原文链接:https://hackernoon.com/the-importance-of-web-penetration-testing译者简介刘涛,社区编辑,某大型央企在线检测管控负责人系统。他的主要职责是严格审查系统的在线验收。具有多年网络安全管理经验,PHP和Web开发与防御经验,Linux使用与管理经验,丰富的代码审计、网络安全测试、威胁挖掘经验。.精通KaliSQL审计、SQLMAP自动检测、XSS审计、Metasploit审计、CSRF审计、webshel??l审计、maltego审计等技术。
