一、什么是渗透测试
渗透测试,也称为笔测试,是针对计算机系统的模拟网络攻击,以检查可利用的漏洞。在这样的背景下Web 应用程序安全性方面,渗透测试通常用于增强 Web 应用程序防火墙 (WAF)。
笔测试可能涉及尝试破坏任意数量的应用程序系统(例如,应用程序协议接口(API)、前端/后端服务器)以发现漏洞,例如容易受到代码注入攻击的未经消毒的输入。
渗透测试提供的见解可用于微调您的 WAF 安全策略并修补检测到的漏洞。
二、渗透测试阶段
笔测试过程可以分为五个阶段。
1.规划和勘察
定义测试的范围和目标,包括要处理的系统和要使用的测试方法。
收集情报(例如网络和域名、邮件服务器)以更好地了解目标的工作原理及其潜在漏洞。
2.扫描
了解目标应用程序将如何响应各种入侵尝试。
- 静态分析 – 检查应用程序的代码以估计其运行时的行为方式。这些工具可以一次扫描整个代码。
- 动态分析 ——检查运行状态下的应用程序代码。这是一种更实用的扫描方式,因为它提供了应用程序性能的实时视图。
3.获取访问权
此阶段使用 Web 应用程序攻击,例如 跨站点脚本、 SQL 注入 和 后门,以发现目标的漏洞。然后,测试人员尝试利用这些漏洞,通常通过提升权限、窃取数据、拦截流量等方式来了解它们可能造成的损害。
4.维持访问权限
此阶段的目标是查看该漏洞是否可用于在被利用的系统中持久存在 — 足够长的时间让不良行为者获得深度访问权限。这个想法是模仿 高级持续威胁,这些威胁通常会在系统中保留数月,以窃取组织最敏感的数据。
5.分析
渗透测试的结果将被编译成一份报告,详细说明:
- 被利用的具体漏洞
- 被访问的敏感数据
- 渗透测试仪能够在系统中保持不被发现的时间
- 安全人员分析这些信息,以帮助配置企业的 WAF 设置和其他应用程序安全解决方案来修补漏洞并防止未来的攻击。
三、渗透测试方法
1.外部测试
外部渗透测试针对互联网上可见的公司资产,例如 Web 应用程序本身、公司网站以及电子邮件和域名服务器 (DNS)。目标是获得访问并提取有价值的数据。
2.内部测试
在内部测试中,可以访问防火墙后面的应用程序的测试人员模拟由恶意内幕。这不一定是在模拟流氓员工。一个常见的起始场景可能是员工的凭证因 网络钓鱼攻击而被盗。
3.盲测
在盲测中,测试人员仅获知目标企业的名称。这使安全人员能够实时了解实际的应用程序攻击是如何发生的。
4.双盲测试
在双盲测试中,安全人员对模拟攻击一无所知。就像在现实世界中一样,他们在尝试突破之前没有任何时间来加强防御。
5.有针对性的测试
在这种情况下,测试人员和安全人员一起工作并互相评估他们的动作。这是一项有价值的培训练习,可以为安全团队提供从黑客角度来看的实时反馈。
四、渗透测试和 Web 应用程序防火墙
渗透测试和 WAF 是排他性但互惠互利的安全措施。
对于多种渗透测试(盲测和双盲测试除外),测试人员可能会使用WAF数据(例如日志)来定位和利用应用程序的弱点。
反过来,WAF 管理员可以从笔测试数据中受益。测试完成后,可以更新WAF配置以防止测试中发现的弱点。
最后,笔测试满足安全审计程序的一些合规性要求,包括 PCI DSS 和 SOC 2。某些标准(例如 PCI-DSS 6.6)只能通过使用经过认证的 WAF 来满足。然而,这样做并不会降低笔测试的用处,因为它具有上述优点以及改进 WAF 配置的能力。
最后
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。
干货主要有:
①1000+CTF历届题库(主流和经典的应该都有了)
②CTF技术文档(最全中文版)
③项目源码(四五十个有趣且经典的练手项目及源码)
④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)
⑤ 网络安全学习路线图(告别不入流的学习)
⑥ CTF/渗透测试工具镜像文件大全
⑦ 2023密码学/隐身术/PWN技术手册大全
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉【整整282G!】网络安全&黑客技术小白到大神全套资料,免费分享!
扫码领取