滲透測試，也稱為滲透測試，是一種針對您的計算機系統的模擬網絡攻擊，用于檢查可利用的漏洞。在 Web 應用程序安全的上下文中，滲透測試通常用于增強 Web 應用程序防火墻 (WAF)。

滲透測試可能涉及嘗試破壞任意數量的應用程序系統（例如，應用程序協議接口 (API)、前端/后端服務器）以發現漏洞，例如易受代碼注入攻擊的未凈化輸入。滲透測試提供的見解可用于微調您的 WAF 安全策略和修補檢測到的漏洞。

滲透測試階段

筆測試過程可以分為五個階段。

1. 規劃偵察

第一階段包括：

• 定義測試的范圍和目標，包括要解決的系統和要使用的測試方法。
• 收集情報（例如，網絡和域名、郵件服務器）以更好地了解目標的工作原理及其潛在漏洞。

2. 掃描

下一步是了解目標應用程序將如何響應各種入侵嘗試。這通常使用以下方法完成：

靜態分析——檢查應用程序的代碼以估計它在運行時的行為方式。這些工具可以一次性掃描整個代碼。

動態分析——檢查處于運行狀態的應用程序代碼。這是一種更實用的掃描方式，因為它可以實時查看應用程序的性能。

3. 獲取訪問權限

此階段使用 Web 應用程序攻擊，例如 跨站點腳本、 SQL 注入 和 后門程序，來發現目標的漏洞。然后，測試人員嘗試利用這些漏洞，通常通過提升權限、竊取數據、攔截流量等方式來了解它們可能造成的損害。

4. 維持訪問

此階段的目標是查看漏洞是否可用于在被利用系統中實現持久存在——足夠長的時間讓壞人獲得深入訪問。這個想法是模仿 高級持續威脅，這些威脅通常會在系統中保留數月，以竊取組織最敏感的數據。

5. 分析

滲透測試的結果被編入一份報告，詳細說明：

• 被利用的特定漏洞
• 訪問的敏感數據
• 滲透測試儀能夠在系統中未被發現的時間

這些信息由安全人員分析，以幫助配置企業的 WAF 設置和其他應用程序安全解決方案，以修補漏洞并防止未來的攻擊。

滲透測試方法

外部測試

外部滲透測試針對公司在 Internet 上可見的資產，例如 Web 應用程序本身、公司網站以及電子郵件和域名服務器 (DNS)。目標是獲得訪問權限并提取有價值的數據。

內部測試

在內部測試中，可以訪問防火墻后的應用程序的測試人員模擬惡意內部人員的攻擊。這不一定是在模擬流氓員工。一個常見的起始場景可能是一名員工的憑據因 網絡釣魚攻擊而被盜。

盲測

在盲測中，測試人員只知道目標企業的名稱。這讓安全人員可以實時了解實際的應用程序攻擊是如何發生的。

雙盲測試

在雙盲測試中，安全人員對模擬攻擊沒有先驗知識。就像在現實世界中一樣，他們沒有任何時間在企圖突破之前加強防御。

有針對性的測試

在這種情況下，測試人員和安全人員一起工作，并相互評估他們的動作。這是一項有價值的培訓練習，可以從黑客的角度為安全團隊提供實時反饋。

滲透測試和 Web 應用程序防火墻

滲透測試和 WAF 是排他性的，但互惠互利的安全措施。對于多種滲透測試（盲測和雙盲測試除外），測試人員可能會使用 WAF 數據（例如日志）來定位和利用應用程序的弱點。反過來，WAF 管理員可以從滲透測試數據中獲益。測試完成后，可以更新 WAF 配置以防止測試中發現的薄弱環節。

最后，滲透測試滿足安全審計程序的一些合規性要求，包括 PCI DSS 和 SOC 2。只有使用經過認證的 WAF 才能滿足某些標準，例如 PCI-DSS 6.6。但是，這樣做并不會因為滲透測試的上述好處和改進 WAF 配置的能力而降低滲透測試的用處。