定制的渗透测试Web应用程序的完整指南。本文将从三个方面提供指导:第一,帮助您学习Web应用渗透测试技术和了解相关工具;第二,告诉你如何发现和测试网络应用程序中的漏洞;最后,指导大家如何通过web应用渗透测试技术提高web应用的安全性。Web应用程序渗透测试Web应用程序渗透测试是一种识别和预防Web应用程序安全问题的方法。Web渗透测试工程师基于自身对漏洞和渗透测试技术的理解,遵循科学的渗透测试流程,使用渗透测试工具来识别Web应用中可能被黑客或其他未授权人员恶意利用的安全风险。Web应用程序是专门为Web服务器设计和开发的程序,例如InternetInformationServices(IIS)、ApacheTomcat等。Web应用程序可用于广泛的场景,从简单的基于文本的计算器到复杂的电子商务系统(如Amazon)。这些电子商务系统同时运行身份验证系统、数据库、网站和许多其他不同的服务。有效的Web应用程序渗透测试任务需要扎实的Web应用程序技术知识,例如Web服务器、Web应用程序框架和Web编程语言。Web应用渗透测试的优势Web应用渗透测试是检测Web应用漏洞和安全问题的最有效方法。通过Web应用渗透测试,可以判断一个Web应用是否存在漏洞,这通常意味着该Web应用存在可被黑客或非授权人员恶意利用的漏洞。在安全的环境中对Web应用程序进行渗透测试可以避免因渗透测试导致的生产系统停机。这有助于在用户数据受到威胁之前发现Web应用程序中的安全问题,让我们有足够的时间修复漏洞。Web应用程序渗透测试可帮助Web安全专业人员了解Web应用程序的工作原理、它们的技术实现以及攻击者利用的Web应用程序漏洞类型。这些可以帮助您更好地了解Web应用程序的攻击面,以便开发和实施有效的安全措施。Web应用程序渗透测试的工作原理Web安全专业人员使用各种工具和技术对他们负责的Web应用程序执行渗透测试任务。他们还创建自定义测试用例,模拟针对Web应用程序目标的真实世界攻击。Web应用程序渗透测试过程了解目标应用程序如何工作(例如:目标应用程序使用了哪些技术等)。使用自动或手动工具扫描目标应用程序是否存在客户端代码(如Javascript、Flash对象、cookies等)的漏洞,当发现漏洞时,尝试攻击此漏洞以找到根源的漏洞,然后尝试尽可能修复它。Web渗透测试人员通常做的是遍历Web应用程序目录和Web服务器;确定目标应用及其技术实现(服务器、技术框架)和编程语言;使用BurpSuite或Acunetix等工具进行手动渗透测试,以发现客户端代码(如Javascript、Flash对象等)中的漏洞;使用Netsparker或HPWebInspect等自动化工具扫描并识别Web服务器和相关技术框架中的已知漏洞。渗透测试人员在手动测试阶段发现的Web应用程序漏洞也可以使用自动化工具加以利用;如有必要,分析网络应用程序的源代码,以便在将网络应用程序部署到网络服务器之前,通过添加传入数据过滤来修复安全问题。Web应用渗透测试工具有很多开源和商业的Web应用安全评估工具可用,例如:AcunetixWVS/WVS11;Netsparker网络扫描仪;IBMRationalAppscan标准版;HPWebInspectProfessional;ParosProxy等与自动化技术相比然而,手动执行Web应用程序渗透测试任务仍然是一个不错的选择,因为它在测试时具有更大的灵活性。手动执行Web应用程序安全评估包括多个步骤,根据您的测试目的(例如利用漏洞),可以涵盖从信息收集到漏洞利用的整个过程。如何执行Web应用渗透测试任务在确定了Web应用的安全评估目标后,首先要做的就是收集信息。您需要尽可能多地收集有关目标应用程序的信息,这将有助于规划下一阶段的渗透测试任务。例如,识别所有提供公共服务的系统、目标应用程序使用的软件平台等。使用网络应用程序名称或技术实现作为自定义关键字在谷歌、LinkedIn或其他有效的在线社交网站上收集信息,之后您还应搜索并下载包含用户名和密码等敏感信息的网络应用程序文档。现在,通过Web应用程序的源代码或其他可用的在线资源来分析目标应用程序使用的技术实现。这是非常重要的一步,因为此信息可帮助我们规划渗透测试任务的下一阶段。如果使用自动化工具收集信息,分析目标应用的技术实现尤为重要,因为此类工具只能检测基于特定Web应用框架和编程语言的漏洞,无法有效识别所有漏洞信息。我们总是建议从外向内进行渗透测试任务(即以提供公共服务的系统作为测试的起点),这将有助于我们从内部了解他们使用的攻击方法、攻击技术和攻击路径。attacker的角度,更全面的分析Web应用暴露的攻击面。如何提高Web应用渗透测试的效果在开始Web应用渗透测试任务之前,需要做大量的规划和准备工作。你需要清楚地认识到Web应用是一个非常复杂的系统,它是由很多技术实现组成的,比如Web服务器/Web应用服务器、Web应用框架或者编程语言等,因此,确定哪些技术实现是重要的。目标应用程序使用非常重要。有些工具只支持检测特定类型的Web应用技术,例如:Paros支持检测PHP技术开发的应用,不支持基于ASP技术开发的应用;AcunetixWVS可以自动识别运行在Windows服务器上的应用服务类别(即Apache或IIS),而在Linux环境中,应用服务类别需要在初始化阶段手动配置,因为AcunetixWVS在Windows环境中可以自动检测,但它不能在Linux环境中进行自动检测。译者介绍邱凯,社区编辑,目前就职于北京中捷快递有限公司,担任信息安全工程师。主要负责公司信息安全规划与建设(保险类,ISO27001),主要日常工作内容为安全计划的制定与实施、内部安全审计与风险评估、管理等。原标题:Web应用渗透测试完全指南,作者:AriaaReeds原文链接:https://readwrite.com/2022/01/02/the-complete-guide-to-web-application-penetration-testing/[翻译稿件,合作网站转载请注明原译者和出处.com]
