创作者丨Ariaa Reeds
翻泽丨仇凯
方案策划丨孙淑娟
【51CTO.com快译】如果你是 Web 安全性权威专家、Web 渗透测试技术工程师或 Web 运用开发人员,那麼文中便是给你量身定做的。文中将从三个层面给予具体指导:最先,协助你学习培训 Web 运用渗透测试技术,并掌握有关专用工具;次之,对你说怎样在 Web 运用中找寻和检测漏洞;最终,具体指导你怎样根据 Web 运用渗透测试技术提高 Web 运用的安全系数。
Web 运用渗透测试
Web 应用渗透测试是一种鉴别和防止 Web 运用安全隐患的方式。Web 渗透测试技术工程师根据自己对漏洞和渗透测试技术的了解,遵循科学合理的渗透测试步骤,应用渗透测试专用工具鉴别 Web 运用中的安全隐患,这种安全隐患很可能被网络黑客或其它没经受权工作人员故意利用。
Web 运用是特意为 Web 网络服务器设计方案和研发的程序流程,例如 Internet 数据服务(IIS)、Apache Tomcat 等。Web 运用的应用情景十分普遍,既可以是根据文字的简单计算器,还可以是相近amazon(Amazon)一样繁杂的网上商城系统。这种网上商城系统与此同时运作着身份认证系统软件、数据库查询、网址等众多不一样的服务项目。
要进行合理的 Web 运用渗透测试每日任务,必须具有丰富多彩的 Web 运用技术专业知识,例如 Web 网络服务器、Web 运用架构和 Web 计算机语言。
Web 运用渗透测试的优点
Web 运用渗透测试是检验 Web 运用漏洞和安全隐患最有效的办法。根据 Web 运用渗透测试,可以分辨 Web 运用是不是存有易损性,这通常意味着 Web 运用存有可以被网络黑客或未受权工作人员故意利用的漏洞。在安全可靠的条件中对 Web 运用开展渗透测试,可以防止因渗透测试造成的生产系统服务器宕机。这有利于在客户数据信息遭受毁坏以前发觉 Web 运用的安全隐患,促使大家有充足的時间修补漏洞。Web 运用渗透测试可以协助 Web 安全性权威专家掌握 Web 运用的原理、Web 运用的技术完成及其网络攻击利用的 Web 运用漏洞种类。这种可以幫助你更快的了解 Web 运用的攻击面,便于制订并实行合理的安全防范措施。
怎样进行 Web 运用渗透测试工作中
Web 安全性权威专家应用多种软件和技术在其承担的 Web 运用上实行渗透测试每日任务。她们一样会制做自定的功能测试,用于仿真模拟真实的世界中对 Web 运用靶标的进攻。
Web 运用渗透测试步骤
掌握靶标运用的原理(例如:靶标运用应用了什么技术等)。应用全自动或手动工具扫描仪靶标运用,找寻手机客户端编码(例如 Javascript、Flash 目标、Cookie 等)的漏洞,当发觉漏洞后,试着进攻此漏洞,便于寻找导致该漏洞的直接原因,随后尽量的试着修补它。
Web 渗透测试工作人员通常会做的事儿
- 解析xml Web 运用文件目录和 Web 网络服务器;
- 分辨靶标运用以及运用的技术完成(网络服务器、技术架构)和计算机语言;
- 应用 Burp Suite 或 Acunetix 等设备开展手动式渗透测试,以发觉手机客户端编码(例如 Javascript、Flash 目标等)的漏洞;
- 应用 Netsparker 或 HP Web Inspect 等自动化技术专用工具扫描仪并鉴别 Web 网络服务器和有关技术架构中的已经知道漏洞。渗透测试工作人员在手动式产品测试发觉的 Web 运用漏洞,还可以应用智能化设备开展进攻利用;
如必须,对 Web 运用开展源码剖析,便于在 Web 运用布署至 Web 网络服务器以前,根据加上传到数据信息过滤装置来修补安全隐患。
Web 运用渗透测试专用工具
有很多开源系统和商业服务的 Web 运用安全风险评估专用工具可以应用,例如:
相比于自动化技术技术,手动式实行 Web 运用渗透测试每日任务仍然是有效的挑选,因为它可以在检测时给予较大的操作灵活性。手动式实行 Web 运用安全风险评估包括很多个流程,依据你的检测目地(例如利用漏洞),这种流程可以包含从信息收集到漏洞利用的全步骤范畴。
怎样实行 Web 运用渗透测试每日任务
在确立 Web 运用的安全风险评估总体目标后,最先要做的事便是信息收集。你需要尽量多的搜集靶标应用信息,这将有利于整体规划下一个环节的渗透测试每日任务。例如鉴别全部给予公布服务项目的系统软件,靶标运用所采用的软件系统等。将 Web 运用名字或技术完成做为自定关键词,在 Google、LinkedIn 或其它合理的线上社交平台开展信息收集,人物角色,你还是理应寻找并免费下载包括比较敏感信息内容(例如账户密码)的 Web 运用文档。
如今,根据 Web 运用的源码或其它合理的资源在线,剖析靶标运用所采用的技术完成。这也是十分关键的流程,由于这种信息内容有利于大家整体规划下一个环节的渗透测试每日任务。
假如你应用智能化设备进行信息收集,那麼剖析靶标运用的技术完成将至关重要,由于该类专用工具只有检验根据特殊 Web 运用架构和程序语言的漏洞,没法合理鉴别全部漏洞信息内容。
大家自始至终提议根据由外部内(即,以给予公布服务项目的系统软件做为检测起始点)的方法实行渗透测试每日任务,这将有利于大家从网络攻击的视角掌握其采用的拒绝服务攻击、进攻技术和攻击途径,更全方位的剖析 Web 运用曝露的攻击面。
怎样提高 Web 运用渗透测试的实际效果
在逐渐 Web 运用渗透测试每日任务以前,必须进行大批量的规划和准备工作。你需要清晰的意识到 Web 运用是比较复杂的系统软件,它是由很多技术完成组成,例如 Web 网络服务器 /Web 网站服务器、Web 运用架构或计算机语言等,因而明确靶标运用应用了什么技术完成是十分关键的。
一些专用工具只适用对特殊种类的 Web 运用技术开展检验,例如:
Paros 适用检验由 PHP 技术开发设计的运用,不兼容根据 ASP 技术开发设计的运用;
Acunetix WVS 可以自动检索运作在 Windows 网络服务器上的业务系统类型(即 Apache 或是 IIS),而在 Linux 自然环境中,必须在复位环节对业务系统类型开展手动式配备,这是由于 Acunetix WVS 可以在 Windows 自然环境中开展自动识别,可是在 Linux 自然环境中却没法开展自动识别。
译员详细介绍
仇凯,51CTO 小区编写,现阶段任职于北京宅急送物流有限责任公司,岗位为网络信息安全技术工程师。关键承担企业网络信息安全整体规划和基本建设(等级保护,ISO27001),日常关键工作职责为安全应急预案制订和落地式、内部结构网络安全审计和风险评价及其管理方法。
全文文章标题:The Complete Guide to Web Application Penetration Testing,创作者:Ariaa Reeds
全文连接:
https://readwrite.com/2022/01/02/the-complete-guide-to-web-application-penetration-testing/
【51CTO译稿,合作站点转截请标明原文译者和来源为51CTO.com】
