滲透測(cè)試，也稱為滲透測(cè)試，是一種針對(duì)您的計(jì)算機(jī)系統(tǒng)的模擬網(wǎng)絡(luò)攻擊，用于檢查可利用的漏洞。在 Web 應(yīng)用程序安全的上下文中，滲透測(cè)試通常用于增強(qiáng) Web 應(yīng)用程序防火墻 (WAF)。

滲透測(cè)試可能涉及嘗試破壞任意數(shù)量的應(yīng)用程序系統(tǒng)（例如，應(yīng)用程序協(xié)議接口 (API)、前端/后端服務(wù)器）以發(fā)現(xiàn)漏洞，例如易受代碼注入攻擊的未凈化輸入。滲透測(cè)試提供的見解可用于微調(diào)您的 WAF 安全策略和修補(bǔ)檢測(cè)到的漏洞。

滲透測(cè)試階段

筆測(cè)試過程可以分為五個(gè)階段。

1. 規(guī)劃偵察

第一階段包括：

• 定義測(cè)試的范圍和目標(biāo)，包括要解決的系統(tǒng)和要使用的測(cè)試方法。
• 收集情報(bào)（例如，網(wǎng)絡(luò)和域名、郵件服務(wù)器）以更好地了解目標(biāo)的工作原理及其潛在漏洞。

2. 掃描

下一步是了解目標(biāo)應(yīng)用程序?qū)⑷绾雾憫?yīng)各種入侵嘗試。這通常使用以下方法完成：

靜態(tài)分析——檢查應(yīng)用程序的代碼以估計(jì)它在運(yùn)行時(shí)的行為方式。這些工具可以一次性掃描整個(gè)代碼。

動(dòng)態(tài)分析——檢查處于運(yùn)行狀態(tài)的應(yīng)用程序代碼。這是一種更實(shí)用的掃描方式，因?yàn)樗梢詫?shí)時(shí)查看應(yīng)用程序的性能。

3. 獲取訪問權(quán)限

此階段使用 Web 應(yīng)用程序攻擊，例如 跨站點(diǎn)腳本、 SQL 注入 和 后門程序，來發(fā)現(xiàn)目標(biāo)的漏洞。然后，測(cè)試人員嘗試?yán)眠@些漏洞，通常通過提升權(quán)限、竊取數(shù)據(jù)、攔截流量等方式來了解它們可能造成的損害。

4. 維持訪問

此階段的目標(biāo)是查看漏洞是否可用于在被利用系統(tǒng)中實(shí)現(xiàn)持久存在——足夠長的時(shí)間讓壞人獲得深入訪問。這個(gè)想法是模仿 高級(jí)持續(xù)威脅，這些威脅通常會(huì)在系統(tǒng)中保留數(shù)月，以竊取組織最敏感的數(shù)據(jù)。

5. 分析

滲透測(cè)試的結(jié)果被編入一份報(bào)告，詳細(xì)說明：

• 被利用的特定漏洞
• 訪問的敏感數(shù)據(jù)
• 滲透測(cè)試儀能夠在系統(tǒng)中未被發(fā)現(xiàn)的時(shí)間

這些信息由安全人員分析，以幫助配置企業(yè)的 WAF 設(shè)置和其他應(yīng)用程序安全解決方案，以修補(bǔ)漏洞并防止未來的攻擊。

滲透測(cè)試方法

外部測(cè)試

外部滲透測(cè)試針對(duì)公司在 Internet 上可見的資產(chǎn)，例如 Web 應(yīng)用程序本身、公司網(wǎng)站以及電子郵件和域名服務(wù)器 (DNS)。目標(biāo)是獲得訪問權(quán)限并提取有價(jià)值的數(shù)據(jù)。

內(nèi)部測(cè)試

在內(nèi)部測(cè)試中，可以訪問防火墻后的應(yīng)用程序的測(cè)試人員模擬惡意內(nèi)部人員的攻擊。這不一定是在模擬流氓員工。一個(gè)常見的起始場(chǎng)景可能是一名員工的憑據(jù)因 網(wǎng)絡(luò)釣魚攻擊而被盜。

盲測(cè)

在盲測(cè)中，測(cè)試人員只知道目標(biāo)企業(yè)的名稱。這讓安全人員可以實(shí)時(shí)了解實(shí)際的應(yīng)用程序攻擊是如何發(fā)生的。

雙盲測(cè)試

在雙盲測(cè)試中，安全人員對(duì)模擬攻擊沒有先驗(yàn)知識(shí)。就像在現(xiàn)實(shí)世界中一樣，他們沒有任何時(shí)間在企圖突破之前加強(qiáng)防御。

有針對(duì)性的測(cè)試

在這種情況下，測(cè)試人員和安全人員一起工作，并相互評(píng)估他們的動(dòng)作。這是一項(xiàng)有價(jià)值的培訓(xùn)練習(xí)，可以從黑客的角度為安全團(tuán)隊(duì)提供實(shí)時(shí)反饋。

滲透測(cè)試和 Web 應(yīng)用程序防火墻

滲透測(cè)試和 WAF 是排他性的，但互惠互利的安全措施。對(duì)于多種滲透測(cè)試（盲測(cè)和雙盲測(cè)試除外），測(cè)試人員可能會(huì)使用 WAF 數(shù)據(jù)（例如日志）來定位和利用應(yīng)用程序的弱點(diǎn)。反過來，WAF 管理員可以從滲透測(cè)試數(shù)據(jù)中獲益。測(cè)試完成后，可以更新 WAF 配置以防止測(cè)試中發(fā)現(xiàn)的薄弱環(huán)節(jié)。

最后，滲透測(cè)試滿足安全審計(jì)程序的一些合規(guī)性要求，包括 PCI DSS 和 SOC 2。只有使用經(jīng)過認(rèn)證的 WAF 才能滿足某些標(biāo)準(zhǔn)，例如 PCI-DSS 6.6。但是，這樣做并不會(huì)因?yàn)闈B透測(cè)試的上述好處和改進(jìn) WAF 配置的能力而降低滲透測(cè)試的用處。