众所周知,Web应用程序对于任何组织/企业的运营都至关重要,定期进行渗透测试可以帮助组织/企业:
(1)提高安全防御能力:检测网络系统、应用程序或设备的安全漏洞和弱点,及时发现和解决潜在的安全问题,避免因安全漏洞导致的数据泄露、信息丢失等安全问题发生,加强企业的安全防御能力;
(2)满足合规要求:一些行业标准和法规要求组织/企业定期进行安全测试和评估,通过渗透测试可以满足合规要求,避免因违规带来的风险和罚款;
(3)提升形象:通过渗透测试可以证明组织/企业对安全的高度重视和积极的安全防护措施,增强客户和用户的信任度和满意度,提升形象和竞争力。
Web应用程序安全一些常见测试方法
黑盒测试:事先没有关于应用程序内部结构和代码的任何信息,借助模拟攻击者的行为,通过使用整个软件或某种软件功能对应用程序进行扫描。其优势在于能够精确模拟网络攻击过程,攻击范围广。
白盒测试:事先了解公司的网络状况和弱点,通过程序的源代码进行测试,来检查特定的缺陷所带来的风险。其优势是能够集中、准确地检测出漏洞。
灰盒测试:黑盒和白盒测试的共同体,通常对目标有一些了解但并不详细。其优势在于既能检查系统的功能,又能够查找潜在的代码缺陷和安全漏洞。
上海云盾渗透测试服务
10+年攻防研究,专业渗透测试服务团队,通过长期攻防对抗,积累了上万条渗透测试最佳实践,实时掌握热门漏洞和0day漏洞,均有效运用在渗透测试服务中。支持项目化服务、双组测试,也可针对业务定制渗透服务模式,包括测试方式、服务套餐、业务针对性测试等,满足用户各类渗透测试场景需求。
Web端最常见问题大多出现在弱口令、文件上传、任意文件读取、反序列化、模版漏洞等方面。模拟黑客攻击对象除了Web应用程序、浏览器、ActiveX、插件等,应用编程接口(API)与XML、MySQL、Oracle及其连接和系统也是被攻击目标;如果Web应用程序是移动的,需要在其正式环境中进行被攻击模拟。
实施流程
第一步:确定目标后开始信息收集
信息收集包括业务运营、系统和组织结构的详细情况的收集。获取网络拓扑、系统配置、安全防御措施等信息,这些信息可以对潜在攻击途径提供预见性洞察。信息收集包含不限于以下内容:
获取域名的whois信息、注册者邮箱姓名电话;查询服务器旁站以及子域名站点;查看服务器操作系统版本、web中间件,比如IIS、APACHE、NGINX的解析漏洞;查看IP,进行IP地址端口扫描,对响应的端口进行漏洞探测,比如 rsync、心脏出血、mysql、ftp、ssh弱口令、扫描网站目录结构等,确认是否可以遍历目录,确认是否存在已知的漏洞,或者敏感文件泄漏等存在安全问题。
第二步:漏洞挖掘和利用
漏洞挖掘包括Web类漏洞挖掘和业务逻辑漏洞挖掘:
Web类漏洞挖掘包括SQL 注入攻击、跨站脚本攻击(XSS) 、跨站点伪造请求(CSRF) 、服务器端请求伪造(SSRF) 、任意文件上传或下载或读取 、任意目录遍历、.svn/.git 源代码泄露、信息泄露、命令执行注入、任意代码执行、Struts2 远程命令执行、反序列化命令执行、失效的身份认证和会话管理等。
业务逻辑漏洞挖掘包括身份认证管理、业务授权、用户输入合法性验证、业务接口恶意调用、用户账号枚举、用户密码枚举、用户弱口令、平行越权访问、垂直越权访问、未授权访问、不安全的加密存储、没有限制 URL 访问、未验证的重定向和转发等。
第三步:权限提升与日志清理
对服务器进行权限提升,获取服务器系统的最高管理权限,规避黑客对网站和系统的入侵;定时进行日志清理,备份到指定路径,以减业务库的容量。
第四步:总结报告及修复方案
报告是安全漏洞结果展现形式之一,也是目前安全业内最认可的和常见的。但不同的服务团队,其报告在内容上存在很大差异,这也是对服务质量呈现的方式之一。
服务优势
在服务能力上:在保证整个渗透测试可控的范围内,提供人工测试+工具相结合的服务,通过模拟黑客入侵,发现应用系统的安全弱点,并协助企业进行修复。
在服务范围上:除对Web应用进行渗透测试外,还包含操作系统、APP、应用系统等不同场景的渗透测试服务。
在服务内容上提供:多维度的漏洞挖掘,安全专家模拟黑客攻击,挖掘渗透目标中存在的安全漏洞,并对其进行验证;安全专家不仅能够对渗透测试报告进行专业解读,还能够为客户提供轻量级的安全咨询服务,帮助客户高效地修复漏洞,让网络安全得到全面保障;安全专家基于渗透测试结果撰写报告,内容涵盖漏洞描述、危害等级、验证过程以及修复建议等。