了解滲透測試

• 什麼是滲透測試作為服務（PTAA）？
• 十大最佳五旬節工具2021

滲透測試是對計算機上的授權模擬網絡攻擊，以評估系統的安全性。進行測試過程是為了確定兩個弱點（也稱為漏洞），包括不允許當事方訪問系統功能和數據的可能性以及可以在整個系統中進行風險評估的優勢。

什麼是滲透測試？

滲透測試（也稱為筆測試）是對計算機系統的模擬網絡攻擊，以檢查可以利用的漏洞。在Web應用程序安全性中，滲透測試通常用於增強Web應用程序防火牆（WAF）。

筆測試可能涉及試圖違反任何數量的應用系統（例如應用程序協議接口 - API，前端 /後端）來檢測漏洞漏洞，例如未確認的輸入，很容易通過傳輸惡意代碼來遭受惡意攻擊。

滲透測試過程提供的詳細信息可用於完善WAF安全策略和修補程序檢測到的漏洞。

滲透測試的階段

筆測試的過程可以分為5個階段。

1。提前計劃和調查

第一階段包括：

1. 確定測試的範圍和目標，包括要處理的系統以及要使用的測試方法。
2. 收集信息（例如網絡名稱和域名，郵件服務器），以更好地了解其目標和潛在漏洞的方式。

2。掃描

下一步是了解目標應用將如何對不同的入侵因素做出反應。通常使用：

1. 靜態分析方法 - 檢查應用程序的代碼以在運行時確定其行為。這些工具可以一次掃描所有代碼。
2. 動態分析方法 - 檢查運行狀態中的應用程序代碼。這是一種更現實的掃描方法，因為它提供了應用程序性能的實時視圖。

3。獲取訪問

該階段使用Web應用程序攻擊，例如跨站點腳本，SQL注入和後門來發現目標漏洞。後來，測試人員通常會通過完全控制系統，數據盜竊，流量阻塞等來利用這些漏洞。知道他們可能造成的損害。

4。保持訪問

此階段的目的是查看是否可以使用漏洞來利用折衷的系統中的長期（足以使黑客可以深入訪問該系統）。這個想法是模仿APT攻擊，該攻擊通常在系統中持續數月以竊取組織最敏感的數據。

5。分析

然後將滲透測試的結果彙編為詳細報告，包括：

1. 特定漏洞已被利用
2. 訪問敏感數據
3. 未檢測到進行筆測試的人可以保留在系統中的時間長度

安全人員分析了此信息，有助於為企業配置WAF設置，提供其他應用程序安全解決方案來修補漏洞並防止未來的攻擊。 。

穿透測試方法

外部測試（外部滲透測試）

外部滲透測試目標是可以在Internet上看到的公司的“資產”，例如Web應用程序本身，公司網站，電子郵件和域名服務器（DNS）。目標是獲取訪問並提取有價值的數據。

內部測試（內部入侵測試）

在內部滲透測試中，可以訪問防火牆後面應用程序的測試人員模擬內部攻擊。這次攻擊不僅警告可能是黑客本人的內部僱員的前景，而且還提醒管理員防止組織中的員工在網絡釣魚攻擊後被登錄。

盲試（盲試）

在盲測試中，僅鑑於目標業務的名稱。這為安全人員提供了實時觀點，即實踐中的應用程序攻擊將如何進行。

雙盲測試

在雙盲測試中，安全人員對模擬攻擊一無所知。像在現實世界中一樣，攻擊並不總是以增強防禦能力的眾所周知。

目標測試

在這種情況下，檢查員和安全人員都將共同努力並不斷評估彼此的行動。這是一項有價值的訓練活動，從黑客的角度為團隊提供了實時反饋安全性。

穿透測試和Web應用程序防火牆

穿透測試和WAF是獨立的安全措施，但它們也提供了互惠互利。

對於許多類型的筆測試（除了盲測和雙盲測試除外），測試人員可以使用WAF數據（例如日記）來定位和利用應用程序弱點。

作為回報，WAF管理員可以從筆測試數據中受益。測試完成後，可以更新WAF配置，以防止測試過程中檢測到的弱點。

最後，筆測試滿足了遵守安全測試程序的許多要求，包括PCI DSS和SOC 2。只能通過使用WAF來滿足某些標準，例如PCI-DSS 6.6。

你應該閱讀

• 如何用Kali Linux進行IoT
• 什麼是自動化測試？
• 6個步驟計劃有害軟件反攻擊
• 如何擊敗hackthissite.org基本任務
• 引入Kali Linux操作系統
• 如何在VirtualBox中安裝和測試鸚鵡OS
• 了解NodeZero操作系統
• 了解鸚鵡安全操作系統

可能有興趣