???

作者丨Ariaa Reeds

翻譯丨仇凱 

策劃丨孫淑娟

【51CTO.com快譯】如果你是 Web 安全專家、Web 滲透測(cè)試工程師或 Web 應(yīng)用開(kāi)發(fā)者，那么本文就是為你量身定制的。本文將從三個(gè)方面提供指導(dǎo)：首先，幫助你學(xué)習(xí) Web 應(yīng)用滲透測(cè)試技術(shù)，并了解相關(guān)工具;其次，告訴你如何在 Web 應(yīng)用中尋找和測(cè)試漏洞;最后，指導(dǎo)你如何通過(guò) Web 應(yīng)用滲透測(cè)試技術(shù)提升 Web 應(yīng)用的安全性。

Web 應(yīng)用滲透測(cè)試

Web 應(yīng)用滲透測(cè)試是一種識(shí)別和預(yù)防 Web 應(yīng)用安全問(wèn)題的方法。Web 滲透測(cè)試工程師依據(jù)自身對(duì)漏洞和滲透測(cè)試技術(shù)的理解，遵循科學(xué)的滲透測(cè)試流程，使用滲透測(cè)試工具識(shí)別 Web 應(yīng)用中的安全風(fēng)險(xiǎn)，這些安全風(fēng)險(xiǎn)很可能被黑客或其他未經(jīng)授權(quán)人員惡意利用。

Web 應(yīng)用是專門為 Web 服務(wù)器設(shè)計(jì)和開(kāi)發(fā)的程序，例如 Internet 信息服務(wù)(IIS)、Apache Tomcat 等。Web 應(yīng)用的使用場(chǎng)景非常廣泛，既可以是基于文本的簡(jiǎn)單計(jì)算器，也可以是類似亞馬遜(Amazon)一樣復(fù)雜的電子商務(wù)系統(tǒng)。這些電子商務(wù)系統(tǒng)同時(shí)運(yùn)行著身份驗(yàn)證系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)站等許多不同的服務(wù)。

要完成有效的 Web 應(yīng)用滲透測(cè)試任務(wù)，需要具備豐富的 Web 應(yīng)用技術(shù)知識(shí)，例如 Web 服務(wù)器、Web 應(yīng)用框架和 Web 編程語(yǔ)言。

Web 應(yīng)用滲透測(cè)試的優(yōu)勢(shì)

Web 應(yīng)用滲透測(cè)試是檢測(cè) Web 應(yīng)用漏洞和安全問(wèn)題最有效的方法。通過(guò) Web 應(yīng)用滲透測(cè)試，能夠判斷 Web 應(yīng)用是否存在脆弱性，這通常代表 Web 應(yīng)用存在可以被黑客或未授權(quán)人員惡意利用的漏洞。在安全的環(huán)境中對(duì) Web 應(yīng)用進(jìn)行滲透測(cè)試，可以避免因滲透測(cè)試導(dǎo)致的生產(chǎn)系統(tǒng)宕機(jī)。這有助于在用戶數(shù)據(jù)遭到破壞之前發(fā)現(xiàn) Web 應(yīng)用的安全問(wèn)題，使得我們有足夠的時(shí)間修復(fù)漏洞。Web 應(yīng)用滲透測(cè)試可以幫助 Web 安全專家了解 Web 應(yīng)用的工作原理、Web 應(yīng)用的技術(shù)實(shí)現(xiàn)以及攻擊者利用的 Web 應(yīng)用漏洞類型。這些可以幫助你更好的理解 Web 應(yīng)用的攻擊面，以便制定并實(shí)施有效的安全措施。

如何開(kāi)展 Web 應(yīng)用滲透測(cè)試工作

Web 安全專家使用各種工具和技術(shù)在其負(fù)責(zé)的 Web 應(yīng)用上執(zhí)行滲透測(cè)試任務(wù)。他們同樣會(huì)制作自定義的測(cè)試用例，用來(lái)模擬真實(shí)世界中對(duì) Web 應(yīng)用靶標(biāo)的攻擊。

Web 應(yīng)用滲透測(cè)試流程

了解靶標(biāo)應(yīng)用的工作原理(例如：靶標(biāo)應(yīng)用使用了哪些技術(shù)等)。使用自動(dòng)或手動(dòng)工具掃描靶標(biāo)應(yīng)用，尋找客戶端代碼(例如 Javascript、Flash 對(duì)象、Cookie 等)的漏洞，當(dāng)發(fā)現(xiàn)漏洞后，嘗試攻擊此漏洞，以便找到造成該漏洞的根本原因，然后盡可能的嘗試修復(fù)它。

Web 滲透測(cè)試人員通常會(huì)做的事情

• 遍歷 Web 應(yīng)用目錄和 Web 服務(wù)器;
• 判斷靶標(biāo)應(yīng)用及其使用的技術(shù)實(shí)現(xiàn)(服務(wù)器、技術(shù)框架)和編程語(yǔ)言;
• 使用 Burp Suite 或 Acunetix 等工具進(jìn)行手動(dòng)滲透測(cè)試，以發(fā)現(xiàn)客戶端代碼(例如 Javascript、Flash 對(duì)象等)的漏洞;
• 使用 Netsparker 或 HP Web Inspect 等自動(dòng)化工具掃描并識(shí)別 Web 服務(wù)器和相關(guān)技術(shù)框架中的已知漏洞。滲透測(cè)試人員在手動(dòng)測(cè)試階段發(fā)現(xiàn)的 Web 應(yīng)用漏洞，也可以使用自動(dòng)化工具進(jìn)行攻擊利用;

如有必要，對(duì) Web 應(yīng)用進(jìn)行源代碼分析，以便在 Web 應(yīng)用部署至 Web 服務(wù)器之前，通過(guò)添加傳入數(shù)據(jù)過(guò)濾器來(lái)修復(fù)安全問(wèn)題。

Web 應(yīng)用滲透測(cè)試工具

有許多開(kāi)源和商業(yè)的 Web 應(yīng)用安全評(píng)估工具可以使用，例如：

1. Acunetix WVS/WVS11;
2. Netsparker Web Scanner;
3. IBM Rational Appscan Standard Edition;
4. HP Web Inspect Professional;
5. Paros Proxy etc.

相較于自動(dòng)化技術(shù)，手動(dòng)執(zhí)行 Web 應(yīng)用滲透測(cè)試任務(wù)依然是很好的選擇，因?yàn)樗梢栽跍y(cè)試時(shí)提供更大的靈活性。手動(dòng)執(zhí)行 Web 應(yīng)用安全評(píng)估包含多個(gè)步驟，根據(jù)你的測(cè)試目的(例如利用漏洞)，這些步驟能夠涵蓋從信息收集到漏洞利用的全流程范圍。

如何執(zhí)行 Web 應(yīng)用滲透測(cè)試任務(wù)

在明確 Web 應(yīng)用的安全評(píng)估目標(biāo)后，首先要做的事情就是信息收集。你需要盡可能多的收集靶標(biāo)應(yīng)用信息，這將有助于規(guī)劃下一個(gè)階段的滲透測(cè)試任務(wù)。例如識(shí)別所有提供公開(kāi)服務(wù)的系統(tǒng)，靶標(biāo)應(yīng)用所使用的軟件平臺(tái)等。將 Web 應(yīng)用名稱或技術(shù)實(shí)現(xiàn)作為自定義關(guān)鍵字，在 Google、LinkedIn 或其他有效的在線社交網(wǎng)站進(jìn)行信息收集，在此之后，你還應(yīng)當(dāng)搜尋并下載包含敏感信息(例如用戶名和密碼)的 Web 應(yīng)用文件。

現(xiàn)在，通過(guò) Web 應(yīng)用的源代碼或其他有效的在線資源，分析靶標(biāo)應(yīng)用所使用的技術(shù)實(shí)現(xiàn)。這是非常重要的步驟，因?yàn)檫@些信息有助于我們規(guī)劃下一個(gè)階段的滲透測(cè)試任務(wù)。

如果你使用自動(dòng)化工具完成信息收集，那么分析靶標(biāo)應(yīng)用的技術(shù)實(shí)現(xiàn)將尤為重要，因?yàn)榇祟惞ぞ咧荒軝z測(cè)基于特定 Web 應(yīng)用框架和編程語(yǔ)言的漏洞，無(wú)法有效識(shí)別所有漏洞信息。

我們始終建議通過(guò)由外向內(nèi)(即，以提供公開(kāi)服務(wù)的系統(tǒng)作為測(cè)試起點(diǎn))的方式執(zhí)行滲透測(cè)試任務(wù)，這將有助于我們從攻擊者的角度了解其使用的攻擊方式、攻擊技術(shù)和攻擊路徑，更全面的分析 Web 應(yīng)用暴露的攻擊面。

如何提升 Web 應(yīng)用滲透測(cè)試的效果

在開(kāi)始 Web 應(yīng)用滲透測(cè)試任務(wù)之前，需要完成大量的計(jì)劃和準(zhǔn)備工作。你需要清楚的意識(shí)到 Web 應(yīng)用是非常復(fù)雜的系統(tǒng)，它是由許多技術(shù)實(shí)現(xiàn)組合而成，例如 Web 服務(wù)器 /Web 應(yīng)用服務(wù)器、Web 應(yīng)用框架或編程語(yǔ)言等，因此確定靶標(biāo)應(yīng)用使用了哪些技術(shù)實(shí)現(xiàn)是非常重要的。

某些工具只支持對(duì)特定類型的 Web 應(yīng)用技術(shù)進(jìn)行檢測(cè)，例如：

Paros 支持檢測(cè)由 PHP 技術(shù)開(kāi)發(fā)的應(yīng)用，不支持基于 ASP 技術(shù)開(kāi)發(fā)的應(yīng)用;

Acunetix WVS 可以自動(dòng)識(shí)別運(yùn)行在 Windows 服務(wù)器上的應(yīng)用服務(wù)類別(即 Apache 或者 IIS)，而在 Linux 環(huán)境中，需要在初始化階段對(duì)應(yīng)用服務(wù)類別進(jìn)行手動(dòng)配置，這是因?yàn)?Acunetix WVS 可以在 Windows 環(huán)境中進(jìn)行自動(dòng)檢測(cè)，但是在 Linux 環(huán)境中卻無(wú)法進(jìn)行自動(dòng)檢測(cè)。

譯者介紹

仇凱，51CTO 社區(qū)編輯，目前就職于北京宅急送快運(yùn)股份有限公司，職位為信息安全工程師。主要負(fù)責(zé)公司信息安全規(guī)劃和建設(shè)(等保，ISO27001)，日常主要工作內(nèi)容為安全方案制定和落地、內(nèi)部安全審計(jì)和風(fēng)險(xiǎn)評(píng)估以及管理。

原文標(biāo)題：The Complete Guide to Web Application Penetration Testing，作者：Ariaa Reeds

原文鏈接：

??https://readwrite.com/2022/01/02/the-complete-guide-to-web-application-penetration-testing/??

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】

???