什么是渗透测试

渗透测试，也称为笔测试，是针对计算机系统的模拟网络攻击，以检查可利用的漏洞。在 Web 应用程序安全方面，渗透测试通常用于增强 Web应用程序防火墙 (WAF)。

笔测试可能涉及尝试破坏任意数量的应用程序系统（例如，应用程序协议接口（API）、前端/后端服务器）以发现漏洞，例如容易受到代码注入攻击的未经消毒的输入。

渗透测试提供的见解可用于微调您的 WAF 安全策略并修补检测到的漏洞。

渗透测试阶段

笔测试过程可以分为五个阶段。

1. 规划和勘察
第一阶段包括：

• 定义测试的范围和目标，包括要处理的系统和要使用的测试方法。
• 收集情报（例如网络和域名、邮件服务器）以更好地了解目标的工作原理及其潜在漏洞。

2. 扫描
下一步是了解目标应用程序将如何响应各种入侵尝试。这通常使用以下方法完成：

• 静态分析 – 检查应用程序的代码以估计其运行时的行为方式。这些工具可以一次扫描整个代码。
• 动态分析 ——检查运行状态下的应用程序代码。这是一种更实用的扫描方式，因为它提供了应用程序性能的实时视图。

3. 获取访问权
此阶段使用 Web 应用程序攻击，例如 跨站点脚本、  SQL注入 和 后门，以发现目标的漏洞。然后，测试人员尝试利用这些漏洞，通常通过提升权限、窃取数据、拦截流量等方式来了解它们可能造成的损害。

4. 维持访问权限
此阶段的目标是查看该漏洞是否可用于在被利用的系统中持久存在 — 足够长的时间让不良行为者获得深度访问权限。这个想法是模仿 高级持续威胁，这些威胁通常会在系统中保留数月，以窃取组织最敏感的数据。

5. 分析
渗透测试的结果将被编译成一份报告，详细说明：

• 被利用的具体漏洞
• 被访问的敏感数据
• 渗透测试仪能够在系统中保留而不被发现的时间

安全人员分析这些信息，以帮助配置企业的 WAF 设置和其他应用程序安全解决方案，以修补漏洞并防范未来的攻击。

渗透测试方法

外部测试

外部渗透测试针对互联网上可见的公司资产，例如 Web 应用程序本身、公司网站以及电子邮件和域名服务器 (DNS)。目标是获取访问权限并提取有价值的数据。

内部测试

在内部测试中，能够访问防火墙后面的应用程序的测试人员会模拟恶意内部人员的攻击。这不一定是在模拟流氓员工。一个常见的起始场景可能是员工的凭证因网络钓鱼攻击而被盗。

盲测

在盲测中，测试人员仅获知目标企业的名称。这使安全人员能够实时了解实际的应用程序攻击是如何发生的。

双盲测试

在双盲测试中，安全人员对模拟攻击一无所知。就像在现实世界中一样，他们在尝试突破之前没有任何时间来加强防御。

有针对性的测试

在这种情况下，测试人员和安全人员一起工作并互相评估他们的动作。这是一项有价值的培训练习，可以为安全团队提供从黑客角度来看的实时反馈。

渗透测试和 Web 应用程序防火墙

渗透测试和 WAF 是排他性但互惠互利的网络安全措施。

对于多种笔测试（盲测试和双盲测试除外），测试人员可能会使用 WAF 数据（例如日志）来定位和利用应用程序的弱点。

反过来，WAF 管理员可以从笔测试数据中受益。测试完成后，可以更新WAF配置以防止测试中发现的弱点。

最后，笔测试满足安全审计程序的一些合规性要求，包括 PCI DSS 和 SOC 2。某些标准（例如 PCI-DSS 6.6）只能通过使用经过认证的 WAF 来满足。然而，这样做并不会降低笔测试的用处，因为它具有上述优点以及改进 WAF 配置的能力。