Web应用渗透测试的步骤、方法与工具 _渗透测试

文章插图

【51CTO.com快译】众所周知，在应用设计中的某个简单的缺陷、配置上的错误、以及网络钓鱼攻击，都可能给Web服务器造成巨大的损失。有统计显示，全球有75%的IT领导者，对其Web应用的安全性缺乏信心。因此近年来， Web应用的安全性已逐渐成为了各种规模的企业的日常关注与防范重点。
从目的上说， Web应用安全旨在：保护Web网站、应用、以及服务，免受那些针对应用级源代码弱点的、各种新增或既有的安全性威胁。下面，我将和您讨论和总结，在执行Web应用的渗透测试过程中，常用的步骤、方法与工具。
什么是Web应用渗透测试?在组织内部、本地或云端的各类Web服务器，往往会持续面临着各种恶意源的攻击。为了降低此类风险，网络安全专家需要通过模拟针对Web应用、网站或服务的一系列攻击方式，以发现能够被网络攻击者轻易利用的各种漏洞，识别出潜在的威胁，以及掌握组织整体应用的安全态势。这个过程便是Web应用渗透测试。
了解渗透测试的核心步骤Web应用安全性测试的关键步骤包括：
预备动作确定被测组织的业务范围、目标、以及安全态势是至关重要的。测试人员需要在此阶段识别出，目标组织正在使用的虚拟资产和实物资产。据此，测试人员需要判断出将要对目标系统采取：黑盒测试、白盒测试、还是灰盒测试。
情报收集此步骤对于分析Web应用的设置是至关重要的。我们通常分为被动和主动两个收集阶段。其中：

在被动阶段，测试人员主要收集那些可以在互联网上被轻松获得的信息，而无需直接与应用进行交互。例如，使用google语法('site：*.domain.com') ，来识别应用的子域，或使用Wayback machine(译者注：自1996年以来，该站点持续给整个互联网做备份，累计完成了1500亿个网页) ，来检查网站的存档版本。
在主动阶段，测试人员对目标系统进行探测，以提取可供进一步分析的实用信息。例如，对Web应用进行“指纹识别” ，以发现所用到的技术版本，进而执行DNS查找，时区转换，触发错误页面，以及检查源代码等操作。

漏洞扫描与分析在了解了系统内部的关键控制点之后，测试人员可以开始仔细检查那些可用来攻击的向量，以确定组织的重要信息是否存在着潜在风险。在这个阶段，他们通常会使用Zed Attack Proxy(ZAP)、Burp Suite Pro、以及Acunetix等工具，对目标应用的漏洞进行扫描，以识别安全漏洞，并了解应用是如何响应各种入侵尝试的。
利用阶段【Web应用渗透测试的步骤、方法与工具】有了前面收集到的各种详尽数据，以及对在扫描阶段发现漏洞的深入分析，测试人员选用各种可利用的技术和方法，实施渗透“攻击” 。例如：使用SQL注入可以获得对于数据库的未授权访问权限;使用蛮力工具可以直接跳过授权机制;将恶意脚本上传至应用服务器，进而获取命令行Shell的访问权限等。
整理威胁并制定补救措施根据渗透的效果，测试人员总结并评估已开展的测试，对已发现的威胁和风险进行严重性排序，形成有针对性的补救建议，并最终生成完整的深度报告。而在组织的IT团队修复了错误，并消除了漏洞之后，测试人员立即开展新的一轮渗透测试。
如果您想深入探究上述流程的话，请参阅：《5种Web应用安全威胁与7种防范措施》一文。
四种通过渗透测试识别威胁的常用方法通常，合格的Web安全渗透专家会用到如下四种安全测试方法：
1. OWASP(开放式Web应用安全项目)OWASP是一个致力于通过从高到低列举十大威胁，来增强软件系统安全性的实体。它汇集了来自全球各地的技术专家，他们不断分享着有关威胁和攻击的各种洞见。而OWASP Top10(十大漏洞)则是一套定期更新的知名文档。它突出展示了Web应用可能面临的10大最关键的威胁。其中包括：注入、失效的身份认证、敏感信息的泄漏、XML外部实体(XXE) ，访问控制的破坏，安全配置的错误，跨站脚本XSS ，不安全的反序列化，使用具有已知漏洞的组件，以及日志记录和监控的不到位。