渗透测试,也称为笔测试,是针对您的计算机系统的一个模拟网络攻击,用于检查可利用的漏洞。在Web应用程序安全性方面,渗透测试通常用于增强Web应用程序防火墙(WAF)。
笔测试可涉及试图破坏任何数量的应用系统(例如,应用协议接口(API),前端/后端服务器)以发现易受代码注入攻击影响的未经处理的输入的漏洞。
渗透测试提供的洞察可用于微调WAF安全策略并修补检测到的漏洞。
笔测试过程可以分为五个阶段。
第一阶段涉及:
下一步是了解目标应用程序将如何响应各种入侵企图。这通常使用以下方法完成:
该阶段使用Web应用程序攻击(如跨站点脚本,SQL注入和后门)来发现目标的漏洞。然后测试人员尝试利用这些漏洞,通常通过升级权限,窃取数据,拦截流量等来了解它们可能造成的损害。
然后将渗透测试的结果汇编成详细的报告:
安全人员会分析此信息,以帮助配置企业的WAF设置和其他应用程序安全解决方案,以修补漏洞并防止未来的攻击。
外部渗透测试针对的是公司在互联网上可见的资产,例如,Web应用程序本身,公司网站以及电子邮件和域名服务器(DNS)。目标是获取访问权并提取有价值的数据。
在内部测试中,可以在防火墙后面访问应用程序的测试人员模拟恶意内部人员的攻击。这并不一定模拟流氓员工。一种常见的起始情况可能是由于网络钓鱼攻击而导致凭证被盗的员工。
在盲目测试中,测试人员只能获得目标企业的名称。这使安全人员能够实时了解实际的应用程序攻击将如何发生。
在双盲测试中,安全人员不知道模拟攻击。就像在现实世界中一样,在企图违约之前他们没有时间支撑他们的防御。
在这种情况下,测试人员和安保人员一起工作,并彼此评估他们的动作。这是一个有价值的培训练习,从黑客的角度为安全团队提供实时反馈。
渗透测试和WAF是排他性的,但互利的安全措施。
对于许多笔测试(除了盲测和双盲测试),测试人员可能会使用WAF数据(如日志)来查找和利用应用程序的弱点。
反过来,WAF管理员可以从钢笔测试数据中受益。测试完成后,可以更新WAF配置,以防止测试中发现的弱点。
最后,笔测试满足安全审计程序的一些合规性要求,包括PCI DSS和SOC 2。只有通过使用认证的WAF才能满足某些标准,如PCI-DSS 6.6。但是,这样做不会使笔测试变得毫无用处,因为它具有前述的好处,并且能够改进WAF配置。